La semaine dernière, j'ai été contacté par un journaliste par le biais du réseau social « Viadeo » ; il voulait me proposer d'écrire au sujet de la conformité réglementaire ou sur d'autres sujets mais mon attention s'est arrêté sur ce thème pour deux raisons : il est d'actualité et nous sommes tous plus ou moins concerné par ce sujet.
En effet, si je lis mon contrat et éventuellement ses annexes, il m'est interdit d'écrire sur l'entreprise pour laquelle je travaille sans en avoir l'autorisation. En écrivant cette phrase, suis-je en infraction vis-à-vis de mon employeur ? Théoriquement oui, mais je ne pense pas qu'il me le reproche si je m'arrête à cette phase : tout est une question de mesure.
Toutefois, j'aimerais préciser que je ne suis ni juriste, ni journaliste et que donc j'exprime dans ce texte mon opinion personnelle.
Avant d'aller plus loin sur le sujet, je vais tenter de cerner davantage le sujet : La conformité réglementaire.
Il s'agit à mon sens de se soumettre aux règles en vigueur en fonction de son environnement. Ces règles peuvent prendre différentes formes avec des niveaux différents de conformité. En effet, il y a une différence entre se soumettre à une loi et appliquer les bonnes pratiques de son métier.
Nous pourrions citer quelques exemples de types de règles : texte de loi, réglementations, normes, chartes, bonnes pratiques, etc.
Pour l'entreprise, il faudrait identifier l'ensemble des règles qu'elle doit respecter et définir les risques qui y sont associés. A la suite de ce travail, il faudra sûrement définir de nouvelles règles et implémenter quelques outils (informatiques) pour s'assurer que l'entreprise est en conformité avec la réglementation en vigueur. Ces premières tâches seront le début d'une démarche destinée à se protéger et à se dégager de la responsabilité juridique.
« Coupable mais pas responsable »
Un exemple typique serait celui d'un employé d'entreprise qui piraterait un logiciel du marché en utilisant les ressources informatiques de l'entreprise, sans que celle-ci n'ait mentionné explicitement l'interdiction à utiliser le matériel à d'autres fins que celles décrites dans une charte interne. Dans ce cas, l'employé serait coupable du délit mais l'entreprise en serait responsable.
L'informatique peut apporter à l'entreprise des outils de contrôle mais d'un autre coté, elle ouvre des brèches de sécurité pour elle-même.
Dans ce contexte, il est nécessaire de développer quelques principes de bases (non exhaustifs) :
- Le respect de la boite aux lettres électronique du salarié,
- L'usage raisonnable des biens de l'entreprise par les salariés,
- La rédaction d'une charte d'usage de l'internet,
- La traçabilité des flux d'informations en respectant la vie privée des salariés,
- La protection des données à caractère personnel,
- L'organisation d'audits et de contrôles internes,
- La désignation d'un responsable pour appliquer l'ensemble de ces principes.
En termes de contrôles et d'audits, j'ai vu par le passé des auditeurs qui demandaient aux informaticiens ou aux comptables de sortir des éléments sous Excel. Je me suis toujours amusé de ce type de demandes. Comment peut-on contrôler des comptes à partir de données qui peuvent être modifiées sous Excel ?
Un autre principe par rapport aux salariés me semble essentiel : la confiance. Par contre du point de vue juridique, il n'a pas de fondement. Nous voyons de plus en plus de sociétés employer des juristes pour essayer de contourner les lois ou la réglementation. En agissant ainsi, l'employeur ne montre pas l'exemple à ses salariés. L'exemple de l'affaire de la Société Générale est très révélateur de cette situation d'après ce que j'ai lu dans la presse.
Affaire Kerviel et la Société Générale sur Le Point