A l’heure où la cybersécurité et la confidentialité des données sont unanimement perçues comme étant des enjeux majeurs, l’entreprise se doit d’optimiser au mieux le processus de gestion de ses données, afin d’avoir une vue d’ensemble suffisamment claire pour protéger au maximum l’information sensible. Cette nécessité découle directement de l’avènement du big data et de la numérisation exponentielle de notre économie qui, tout en offrant de nouvelles opportunités de croissance et de création de valeur, apporte également son lot de challenges. Cette masse d’information, ces métadonnées, doivent donc être traitées et suivies avec la plus grande attention pour pouvoir être exploitées efficacement et sans risque de fuite. C’est ce qu’on appelle la gouvernance de l’information.

Et qui dit gouvernance, dit transparence ! La transparence est un principe devenu fondamental depuis les scandales financiers du début des années 2000, à l’instar des affaires Enron et Worldcom, et tend à se renforcer avec l’avènement du numérique. Elément central dans les bonnes pratiques de corporate governance, ce principe semble désormais dépasser le simple stade de transparence de l’information financière destiné initialement à « améliorer l’exactitude et la fiabilité des publications des entreprises conformément aux lois sur les valeurs mobilières, ainsi qu’à d’autres fins apparentées. ».

Ainsi, si la transparence reste un vecteur indéniable de création de valeur dans une société, la protection de l’information dite sensible ne l’est-elle pas également ? Comment gérer cette dualité entre transparence et confidentialité des données critiques ?

Les obligations de transparence en France et en Europe

Alors plus de transparence pour créer de la valeur, oui, mais jusqu’à quel point ?

Tout d’abord, y-a-t-il véritablement une obligation pour les entreprises françaises, voire européennes, d’être transparentes envers les actionnaires et les marchés ?

Si on se limite à la transparence de l’information financière, les sociétés européennes cotées sont depuis 2005 soumises aux normes internationales d’information financière (NIIF), plus connues sous le nom de International Financial Reporting Standards (IFRS). Toutes les entreprises cotées ou faisant appel à des investisseurs y sont soumises, le but étant d’harmoniser la présentation et la transparence de leurs états financiers après les scandales mentionnés plus haut, scandales à l’origine aux Etats-Unis de la Loi Sarbanes-Oxley (2001) qui a très certainement inspiré les IFRS.

Un référentiel plus court et plus simple est également proposé depuis 2012 aux PME qui rencontrent des problématiques en termes de communication financière avec les banquiers et les investisseurs privés. Appelées « IFRS PME », ces normes sont réputées plus adaptées aux contraintes des PME, tout en conservant les impératifs de qualité.

En France, l’ex ministre de l’Économie, des Finances et de l’Industrie, Francis Mer avait déjà, dès 2003, reconnu l’importance de renforcer les dispositions légales en matière de gouvernance d’entreprise, et soumis toutes les sociétés anonymes, ainsi que celles faisant appel à l’épargne publique, à la Loi de Sécurité Financière (LSF).

Toutes ces lois ont en commun la volonté d’accroitre la responsabilité des dirigeants, renforcer les dispositifs de contrôle interne, réduire les sources de conflit d’intérêt tout en harmonisant à l’international les normes en matière de gouvernance et de transparence financière.

Ces objectifs d’harmonisation constituent le fer de lance de la politique économique européenne, qui a d’ailleurs complété les normes IFRS par une « directive Transparence », imposant aux émetteurs de valeurs mobilières admises à la négociation sur un marché réglementé de divulguer régulièrement des rapports financiers. Elle oblige également les actionnaires à informer l’émetteur et l’autorité nationale de marché compétente quand leur participation franchit certains seuils, et elle prône la diffusion rapide et sans discrimination de l’information réglementaire, qui doit être facilement accessible (également publiée sur le site de l’émetteur) et stockée de manière sécurisée.

Comment protéger l’information sensible en restant transparent ?

Tout d’abord, il appartient à l’entreprise de catégoriser l’information, afin de cerner les données les plus sensibles. Dans le même temps, ce processus relevant de la bonne gouvernance de l’information permet également de mettre à part l’information régie par des obligations de transparence afin d’éviter d’éventuelles « omissions ». Cette catégorisation de l’information peut se matérialiser par un dégradé du blanc vers le noir en passant par le gris, classant l’information par degré de confidentialité. L’information dite « blanche » est publique et diffusée (publications, web) et concerne 80% de la masse totale d’informations d’une entreprise. L’information dite « grise », qualifiée de sensible et réservée, représente 15% des informations. Enfin une petite part (5%) est constituée par l’information dite « noire », strictement confidentielle et devant être protégée. Cette opération de catégorisation des données est une des missions du Chief Data Officer (CDO), et est essentielle pour créer de la valeur à l’heure du big data.

Le CDO est par ailleurs responsable de la conduite du changement culturel au sein de l’entreprise : il s’agit de montrer à l’ensemble des parties prenantes que la fluidité et la sécurité dans le partage d’informations sont des conditions indispensables pour tirer un bénéfice de ce traitement des données. La gouvernance des données est de ce fait étroitement liée avec la stratégie RH.

D’autre part, la sécurité des systèmes informatiques n’est pas du seul ressort de l’entreprise : c’est aussi un engagement national, européen, voire même international. Ainsi, de nombreuses réglementations, normes et obligations légales, à l’instar de Bâle 3 ou encore Sarbanes-Oxley comme on l’a vu précédemment, visent justement à instaurer un équilibre entre la sécurité et la transparence des systèmes d’informations. On peut citer ici les standards internationaux de type ISO 27001 de système de gestion de la sécurité de l’information. Des organismes, comme l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) en France ou la BSI

(office fédéral de la sécurité des technologies de l’information) en Allemagne, sont quant à elles chargées du contrôle du respect de ces normes, mais également de l’émission de nouvelles directives. La France dispose aussi d’une autorité administrative indépendante, la Commission Nationale de l’Informatique et des Libertés (CNIL), chargée de veiller à la saine exploitation des données.

Enfin, il est important de souligner que l’entreprise n’est pas livrée à elle-même dans la mise en place de sa gouvernance informatique. Elle peut compter sur des guides de bonnes pratiques qui aident à élaborer une stratégie informatique en harmonie avec les mécanismes opérationnels. On retiendra les méthodologies ITIL et Cobit 5. Il est également judicieux de s’appuyer sur des professionnels de la sécurité en décidant d’externaliser une partie de sa gouvernance informatique à travers les solutions d’éditeurs de logiciels qui disposent de technologies plus avancées. Externaliser s’avère souvent bénéfique et même économique pour l’entreprise qui émancipe son service informatique d’une lourde responsabilité en matière de sécurité. Si l’on prend l’exemple des datarooms électroniques, les données restent bien évidemment la propriété de l’entreprise, mais la gestion, le stockage et la mission de sécurité incombent à l’éditeur qui est spécialisé dans le domaine. On diminue donc les risques opérationnels tout en s’affranchissant des contraintes de développement, d’installation, et de maintenance. Il en est de même pour les technologies MFT (Managed Files Transfer) d’échanges de données sécurisés, mais également pour toutes les solutions collaboratives comme par exemple les portails web de dématérialisation des conseils d’administration.

Il est donc clair que le virage numérique de notre économie est suivi de près par les autorités internationales ainsi que par le monde de l’entreprise, et que des dispositions sont prises afin de structurer la gouvernance informatique dans un objectif de sécurité et de transparence. Cependant d’autres objectifs, comme la lutte antiterroriste, peuvent entrer en conflit avec cette dynamique de protection de l’information. La loi sur le renseignement, qui comporte un chapitre « intérêts économiques industriels et scientifiques majeurs de la France » est ainsi souvent perçue comme une intrusion et une menace pour la confidentialité des données sensibles (risque d’espionnage industriel). Il faut donc mettre en place des dispositifs légaux pour consolider la confidentialité de l’information économique.

La directive européenne « secret des affaires » pourrait-elle constituer une solution ?

La directive « secret des affaires » pourrait constituer une solution dans le sens où la divulgation de données protégées serait sévèrement punies. Cela dit, une telle directive porte dans le même temps une atteinte à la transparence de l’information, car elle dissuade voire empêche toute investigation. Dans la dynamique de la loi Macron telle que proposée en janvier 2015, et qui prévoyait que « le fait pour quiconque de prendre connaissance ou de révéler sans autorisation, ou de détourner toute information protégée au titre du secret des affaires (…) est puni de 3 ans d’emprisonnement et de 375 000 euros d’amende.« , on peut comprendre que les journalistes d’investigation aient, face à de telles sanctions, des hésitations à éclaircir certaines zones d’ombre dans l’activité d’une entreprise.

Etant donné que même la « consultation » de ces informations sensibles est sanctionnée, un scandale pourrait même difficilement voir le jour.

Avant de parler de « secret des affaires », il convient donc de définir très clairement ce qu’est une information sensible. Celle-ci pourrait être une information qui, divulguée aux yeux de tous, mettrait en péril la survie de l’entreprise, mais qui dissimulée, ne porte pas préjudice aux parties prenantes, aux bonnes moeurs et à l’intérêt public. Cependant, même avec une définition claire de l’information régie par le « secret des affaires », le jeu de force reste

inégal lorsque l’on oppose un journaliste à une multinationale. Cela serait une protection supplémentaire pour qui a les moyens de repérer les lanceurs d’alerte, et pénaliserait donc les petites PME dans le jeu de concurrence face à des entreprises avec plus de moyens.

Protéger légalement l’information économique sensible s’avère primordial, mais il faut veiller à établir un équilibre entre les forces en jeu (multinationales, PME, médias). Punir la divulgation d’informations sensibles est nécessaire, mais d’un autre côté on doit donner les moyens aux lanceurs d’alertes de passer devant les tribunaux et également encourager la divulgation d’informations pouvant porter atteinte à l’intérêt public. Il est indispensable que la sécurité de l’information ne soit pas assurée au détriment des principes de transparence, sous peine de renforcer les inégalités entre petites et grandes entreprises.

 

__________
Edouard Dupressoir est directeur Marketing chez Equity