Maîtriser ses données pour préserver l’avenir de son entreprise

DISCLAIMER: Toutes les opinions affichées dans cette colonne reflètent l'avis de l'auteur, pas celle d'EURACTIV.COM Ltd.

shutterstock_258726044.jpg [GaudiLab/Shutterstock]

Pour préserver leurs intérêts stratégiques, les solutions qui s’offrent aux entreprises sont à rechercher au-delà des outils juridiques classiques. 

Pamela Passman est la présidente de l’organisation non gouvernementale CREATe (Center for Responsible Enterprise and Trade). Louis de Gaulle est avocat chez De Gaulle Fleurance & Associés.

La valeur des entreprises est aujourd’hui largement dématérialisée. Qu’il s’agisse d’informations commerciales ou techniques stratégiques, de bases de données, de logiciels mettant en œuvre des processus qui sont le résultat d’un savoir-faire développé ou acquis, ou qu’il s’agisse tout simplement de la réputation des marques de l’entreprise, la protection de cette valeur est éminemment fragile.

Car la dématérialisation de la valeur s’accompagne d’une plus grande dispersion des actifs humains qui portent et exploite cette valeur dématérialisée. Les personnels sont de plus en plus mobiles, ils passent d’une entreprise à un autre, éventuellement concurrente, aisément. La sous-traitance systématique de certaines fonctions ou taches contribue à la dissémination des informations et du savoir-faire.

Plus généralement, le recours généralisé aux communications électroniques et l’ouverture des données en tant que telle, encouragée par les pouvoirs publics (cf. les deux projets de loi Valter et Lemaire) est également un facteur de diffusion, volontaire ou non, des données de l’entreprise qui peuvent en déprécier la valeur.

Il est sans doute souhaitable que certains types de données soient accessibles au plus grand nombre afin d’encourager le développement de nouveaux modèles économique. Pour autant, cette ouverture ne doit pas être l’occasion d’affaiblir les entreprises qui ont consenti des investissements importants au profit d’une économie simplement opportuniste de freerider.

Sans compter les risques de failles de sécurité informatique, qui sont un élément supplémentaire de vulnérabilité.

La volatilité de ces actifs immatériels de l’entreprise impose que les entreprises s’organisent pour préserver leurs données d’intérêt stratégique, d’une part, et leur réputation, d’autre part.

Les réponses juridiques traditionnelles restent utiles, mais sont insuffisantes. Ainsi, si un brevet ou une marque permettent de protéger une invention ou un signe distinctif, la propriété intellectuelle est en revanche impuissante à protéger des données commerciales sensibles, un savoir-faire n’ayant pas toujours un résultat technique ou la réputation d’une marque ou d’une entreprise dont les produits ou services seraient mis en cause en raison de dysfonctionnements internes (la récente affaire Volkswagen en est un exemple).

L’enjeu se situe davantage aujourd’hui sur le développement et le déploiement de procédures internes à même de faciliter l’anticipation et la détection des risques de dérives comportementales internes et externes ainsi que des risques de fuites ou de cyber attaques, identifier et localiser les données de manière systématique, les qualifier en fonction de leur nature et du degré de sécurité qu’elles requièrent.

Plusieurs initiatives, actuellement débattues à Bruxelles, visent à une prise de conscience et à une responsabilisation accrue des entreprises. La protection du secret des affaires repose sur cette logique. La protection peut être accordée à condition que l’entreprise démontre s’être normalement organisée pour préserver ses données sensibles. L’exemple de la généralisation annoncée des obligations de notification de pertes de données personnelle et de failles de sécurité est aussi éclairante. Pour se conformer à de telles obligations, encore faut-il être en mesure de détecter ces incidents pour ensuite les signaler à l’autorité compétente et dans certains cas informer le public.

Dans un tel scénario, l’entreprise qui ne sera pas à même de démontrer la mise en place des mesures nécessaires à la sécurisation des données ou au respect des normes s’exposera non seulement aux sanctions étatiques mais aussi aux recours des victimes. La mésaventure de Sony récemment contrainte à verser 8 millions de dollars d’indemnisation à ses employés dont les données personnelles avaient été dérobées lors d’un hacking massif en 2014 en est un exemple.

Il s’agit donc de prendre la mesure des risques et des bonnes pratiques qui s’imposent afin que de préserver et accroître la valeur de l’entreprise dans l’environnement ouvert qui caractérise notre économie. 

Subscribe to our newsletters

Subscribe

Envie de savoir ce qu'il se passe ailleurs en Europe? Souscrivez maintenant à The Capitals.