Vie numérique en entreprise et RSE

De Movilab.org

Avec le développement des nouvelles technologies d'information et de communication, le mode de fonctionnement des entreprises a fortement évolué . Ainsi, le numérique est désormais omniprésent au sein des structures professionnelles. Les points cruciaux sur lesquels les entreprises doivent porter leur attention sont alors en accord avec ces évolutions. Par conséquent, les axes a valoriser dans le cadre de la responsabilité sociale des entreprises sont centrés autour de la vie numérique des salariés et de leurs interactions constantes avec le monde de l'informatique.

lien vers la mindmap

Responsabilité et sécurité informatique

Enjeux

Les sociétés privées stockent de plus en plus de données personnelles de leurs clients et utilisateurs, données qui valent beaucoup d'argent à grande échelle. La récupération de ces données est donc un axe majeur des pirates informatiques, pouvant ensuite revendre celles-ci sur le marché noir. Ainsi d'après la loi française, le responsable du traitement des données doit prendre toutes les précautions pour éviter le vol de celles-ci. Il en va de l'ordre de la liberté individuelle et de la protection de la vie privée. Il est donc directement sujet de Responsabilité Sociétale des Entreprises quant à la sécurisation de leurs données personnelles.

Législation concernant la protection des données personnelles

Il existe dans l'Union européenne des règlements sur la protection de la vie privée, en particulier la directive 95/46 du 24 octobre 1995 sur la protection des données. Le G29 est un groupe européen chargé de coordonner les autorités de protection des données de l’Union européenne.

Dans le droit français, la Loi relative à l'informatique, aux fichiers et aux libertés du 6 janvier 1978 indique, dans son article 34, que "le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès".

Il s'agit d'une obligation de moyens, non de résultats.

Le 23 mars 2010 une proposition de loi a été votée en première lecture au Sénat, qui vise à renforcer cette obligation de sécurisation des données à caractère personnel.

Cette proposition de loi, visant à mieux garantir le droit à la vie privée à l’heure du numérique, introduirait l'obligation, pour le responsable de traitement, à notifier à la CNIL les "violations de traitements de données personnelles" : « En cas de violation du traitement de données à caractère personnel, le responsable de traitement avertit sans délai le correspondant informatique et libertés, ou, en l’absence de celui-ci, la Commission nationale de l’informatique et des libertés. Le responsable du traitement, avec le concours du correspondant informatique et libertés, prend immédiatement les mesures nécessaires pour permettre le rétablissement de la protection de l’intégrité et de la confidentialité des données. Le correspondant informatique et libertés en informe la Commission nationale de l’informatique et des libertés. Si la violation a affecté les données à caractère personnel d’une ou de plusieurs personnes physiques, le responsable du traitement en informe également ces personnes".

Ce type d'obligation existe déjà à l'étranger, notamment aux USA sous l'appellation de Security breach notification laws, mais aussi en Allemagne depuis le 1er septembre 2009.

Si cette loi est promulguée, il s'agirait d'une obligation de résultat.

Etat de la sécurité informatique dans les entreprises

D'après un article de Les Echos basé sur des études de Iron Mountain et PwC, en France :

  • 93 % des entreprises de plus de 250 employés ont été victimes d’une infraction ou d’un vol de données en 2012
  • 45% des entreprises ont mis en place une stratégie de gestion des risques pour l’information et contrôle son efficacité
  • 38 % ont un plan de gestion des risques, mais ne savent pas s’il est réellement efficace
  • 60 % des entreprises donnent la priorité à la réduction des coûts sur celle des risques
  • 54 % des entreprises jugent que les risques pour l’information changent à un tel rythme qu’ils ne peuvent le suivre

La France est en 5ème position dans le monde relativement à la sécurité informatique en utilisant un indicateur établit par ces entreprises menant l'étude.

Outils numériques utilisés en entreprise

  • Data Warehouse : il s'agit d'un système de stockage de données qui regroupe l'ensemble des informations fonctionnelles de l'entreprise. Son but est de trier la masse informationnelle afin de permettre aux salariés de gagner en efficacité et de leur fournir une base structurelle organisée aidant à l'action décisionnelle.
  • Data Mining : cela regroupe l'ensemble des méthodes et algorithmes de recherche d'information dans les data warehouses. Elle suppose donc l'existence d'un système de stockage de données organisé en amont afin de pouvoir fonctionner. De plus, cette instance soulève le problème de la fiabilité des techniques modernes de tri de l'information, car si la force décisionnelle se base aveuglément sur ces systèmes, la moindre erreur informatique pourrait avoir des conséquences dramatiques sur les résultats de l'entreprise.
  • Mailings : internes ou externes à l'entreprise, les boites mails constituent un des outils majeurs en entreprise.
  • Ordinateurs et Smartphones : typiquement les appareils de base de toute opération informatique moderne. Il s'agit des supports maniés en entreprise
  • Outils de cryptage : ce sont des logiciels permettant de protéger les transferts de données des menaces extérieures. Leur fiabilité est certes variable, mais cela reste une des défenses principales contre les risques informatiques.

Risques et menaces informatiques

  • Virus

Un virus, c'est un programme (ou un objet assimilé: macro, code source, ...), qui s'installe sur un ordinateur, se propage par internet (vers) ou sur d'autres supports (tels que disquettes, cd-rom), ... Il peut ou bien avoir un comportement destructeur, ou bien donner à un internaute extérieur le contrôle de l'ordinateur (Trojan), ou bien encore par une diffusion massive permettre de mener des attaques sur internet. Dans le meilleur des cas un virus (ou assimilé) se contentera d'abuser de votre connexion internet, et de mener des attaques, séverement punies. Dans le pire des cas, avec des virus du genre de Tchernobyl, cela peut aller jusqu'à la destruction physique de l'ordinateur .

  • Piratage

Un pirate, en informatique, est une personne pénétrant sans autorisation un objet informatique par un moyen informatique. Aussi anodin que puisse paraître l'acte, il s'agit en droit français d'un délit ou d'un crime dont l'objet et / ou l'acte sont informatiques. L'acte en lui-même est un acte de piraterie, l'action est une action de piratage, l'acteur est un pirate.

  • Espionnage industriel

L'espionnage industriel ou espionnage économique est l'espionnage qui vise le commerce, par opposition à celui, plus habituel, qui vise la sécurité nationale. Il peut être effectué par un gouvernement ou une entreprise privée.

  • Malversation

Il s'agit d'une faute grave réalisée dans le cadre du travail ici et à but lucratif malhonnête. Typiquement, le détournement de fonds fait partie de cette catégorie.

  • E-mails frauduleux
  • Perte d'informations confidentielles
  • Erreurs de Manipulation

Responsabilités des employeurs

Mise en oeuvre de solutions de "réparation"
  • protection de l'accès internet
  • protéger le réseau informatique
  • sauvegarder les données sur des outils annexes non reliés au réseau
  • filtrer les courriers életroniques
Mise en oeuvre de solutions de "prévention"
  • sensibilisation des salariés
  • politique de prise en compte et anticipation des risques

Responsabilité des salariés

  • utilisation réfléchie des outils
  • connaissance des menaces
  • prudence

Surveillance des employés et gestion des données personnelles par les entreprises

problématique: comment l'accessibilité des données a-t-elle modifié nos pratiques comportementales au travail?

  • des outils de tracking à disposition de l'employeur
    • videosurveillance
    • géolocalisation
    • base de données

Ces derniers ont été conçus dans le soucis d'optimiser l'organisation interne de l'entreprise, ex: suivi d'un commercial, suivi de la flotte d'une entreprise de distribution. Il est néanmoins indispensables de fixer des barrières légales à leur utilisation. Apple a ainsi été mis en demeure, condamné par la CNIL pour surveillance abusive de ses employés.

  • les réseaux sociaux (facebook, twitter)

Les réseaux sociaux permettent d'obtenir beaucoup de renseignement sur les employés ou futurs employés et être retenus à charge que ça soit pour l'embauche ou pour un licenciement. On parle aujourd'hui de licenciement facebook. De nombreuses affaires ont défrayé la chronique ( affaire ALTEN 2010 : 3 salariés critiquent leur entreprise, tandis qu'un "ami d'ami" enregistre leur conversation et la transmet à ses dirigeants. Résultat: leur licenciement est prononcé [1]). On peut donc se demander quelles sont les nouvelles frontières entre vie professionnelle et vie privée et comment limiter l'intrusion de l'employeur.

  • l'utilisation des adresses mail professionnelles

L’employeur peut avoir accès aux mails de ses employés. Ces derniers ont néanmoins le droit à la protection de leur vie privée en spécifiant les mails à caractère privé comme tels.


L'employeur a à sa disposition nombreuses données concernant la vie privée de ses salariés, l'important étant l'usage qu'il décide d'en faire. Il est important de souligner que certaines entreprises utilisent des systèmes de cloud computing en confiant par conséquent la gestion de leurs données à des entreprises américaine, loin d'être irréprochables en matière de protection des données personnelles et de la vie privée (scandale PRISM, ...)

Législation en vigueur

  • Charte du droit à l'oubli numérique
  • De l'article 6 de la loi de 1978 il découle que "la collecte et le traitement des données à caractère personnel doivent être effectués de façon licite et loyale, pour une finalité déterminée, explicite et légitime". Des lois récentes s'en suivent.
  • vidéosurveillance: [2]

Réseau Social d'Entreprise

Les motivations pour mettre en place un réseau social d'entreprises peuvent êtres diverses, l'une d'entre elles est la surinformation ou infobésité

Surcharge informationnelle / infobésité

Il existe plusieurs types de surcharge :

  • La surcharge cognitive
  • La surcharge sensorielle
  • La surcharge communicationnelle
  • La surcharge de connaissances

Si avoir beaucoup d'information permet de croiser celles-ci, l'infobésité est une des sources de dysfonctionnement des organisations.

Risques

Les risques que peuvent engenderer une surinformation sont les suivants :

  • Des conditions de travail stressantes pour les employés
  • Un mauvais traitement des informations à cause de leur nombre
  • Des informations ignorées
  • Une perte de temps pour la recherche d'informations ou de documents

Réseau Social d'Entreprise

Un réseau social d'entreprise ( RSE ), est un réseau qui comporte des fonctionnalités similaires aux réseaux publiques, mais ils sont destinés aux professionnels. Ils sont basé sur 5 principes :

  • L'auto-organisation
  • La conversation
  • La propagation de l'information
  • La capitalisation
  • L'attractivité

Objectifs

Les Objectifs d'un réseau social d'entreprise sont les suivants :

  1. Aplanir la hiérarchie
  2. Stimuler la créativité
  3. Faciliter la communication
  4. Aider au partage de fichiers

Freins à l'adoption d'un RSE

Bouygues Telecom, Bouygues SA, Crédit Agricole, Rexel, la CCI Région Alsace, Humanis, Réseau Ferré de France, Suez Environnement, GrDF, RATP et BNP Paribas Personal Finance ont mis en commun leurs expériences quant à la mise en place d'un RSE. Il ressort de cette mise en commun, qu'il existe des freins à la mise en place d'un RSE.

  1. La mise en place d'un RSE sans but : La mise en place d'un RSE doit être un projet qui a un but précis. Ainsi les entreprises qui mettent en place un RSE pour être dans la mouvance web 2.0 essuient un échec, les employés ne voyant pas les intérêts d'un RSE en regard des outils dont ils disposent déjà.
  2. La réticence des employés : Les employés qui n'hésitent pas mettre des informations personnelles sur les réseaux sociaux tels que Facebook ou LinkedIn sont pourtant réticents à mettre des informations personnels sur un RSE. De plus ils ne sont pas non plus enclins à utiliser les outils du RSE, comme le partage de documents

Addiction au Technologies de l'Information et de la Communication

Addictologie au TIC

Ces technologies rendent la vie de chacun beaucoup plus facile. En effet, elles sont synonymes d'immédiateté. Cependant, à en abuser, elles peuvent rapidement se révéler cauchemardesque. Une surcharge informationnelle (nécessaire ou non, intéressante ou non) peut subvenir, des appels intempestifs. Egalement, il arrive alors souvent une confusion en urgence et importance. Ces personnes sont écroulées sous une charge trop importante d'information à traiter, et ne peuvent plus s'en sortir. Pour tenter d'y parvenir, ils passent la majeur partie de leur temps au téléphone, sur l'ordinateur ou autre. On les appelle alors les "hyperconnectés", ce sont des personnes qui ne peuvent plus se décoller de leur écran.

Responsabilité de l'entreprise et de l'employeur

L'entreprise met à disposition ces TIC à ses employés afin de rendre le travail plus agréable, facile et efficace. Cependant, comme nous l'avons vu, il est possible que cela devienne trop. L'employeur doit s'assurer que ses employés ne sont pas débordés et en situation proche du Burn'Out (situation d'épuisement professionnel, la personne ne peut plus travailler). Pour cela, il est possible de limiter le nombre d'emails qu'un salarié peut envoyer par jour (on est loin de la politique "0 e-mails" d'Atos, qui semble être un peu trop radicale) par exemple.

Déconnexion volontaire certes, mais temporaire

Les personnes en situation de Burn'Out se voient obligé d'adopter des déconnexions volontaires dans leur quotidien (préconisé par le médecin, le Burn'Out peut s'apparenter à une maladie avec un traitement). Le seul problème de ces déconnexions volontaires, c'est quelles ne sont forcément que temporaires. Nos sociétés modernes nous ont emprisonné. Aujourd'hui, pour ouvrir un compte en banque, pour commander sur internet, pour quasiment tout, il faut une adresse e-mail. La déconnexion n'en devient nécessairement que temporaire. Il ne s'agit plus de s'émanciper des TIC, mais de les maitriser, afin d'éviter le Burn'Out.

Voir aussi

Concurrence, RSE et TIC

Sources

www.france-universite-numerique-mooc.fr/courses/univnantes/31002/Trimestre_4_2014/about

http://anr.devotic.univ-pau.fr/

http://www.lesinrocks.com/2014/12/01/actualite/deconnexion-volontaire-comment-bien-vivre-les-technologies-communication-11509008/

http://www.enssib.fr/chantier-mine/devotic-la-deconnexion-volontaire-aux-tic

https://campus.emse.fr/pluginfile.php/24961/mod_resource/content/2/CIGREF-ORSE_-_Usages_des_TIC_et_RSE_Rapport.pdf

campus.emse.fr/pluginfile.php/24951/mod_resource/content/1/cahier_prospectivetransfonumerique_web.pdf

campus.emse.fr/pluginfile.php/24950/mod_resource/content/2/_guide_complet_courriels_