Protection des données de l’entreprise : les droits et obligations de vos collaborateurs ?

Dans un contexte où les données de l’entreprise représentent un actif stratégique, leur protection devient un enjeu majeur pour la compétitivité et la conformité légale. Qu’il s’agisse de données commerciales, financières ou relatives aux clients, ces données doivent faire l’objet d’une protection constante, en particulier face aux risques internes. En effet, les collaborateurs, bien qu’acteurs de la cybersécurité, peuvent aussi (volontairement ou non) être à l’origine de fuites ou d’appropriation frauduleuse.

Quelles sont les données qui nécessitent une protection particulière ? Quels sont les droits et les devoirs de vos collaborateurs ? Quelles sont les bonnes pratiques à mettre en place ? Découvrez les conseils de nos avocats en droit du numérique.

Quelles sont les données sensibles de l’entreprise à protéger en priorité ?

Parmi les informations que l’entreprise doit protéger en priorité, on retrouve trois grands types de données :

1. Les données personnelles traitées par l’entreprise

La gestion des données personnelles est strictement réglementée par le RGPD. Elles englobent à la fois :

• Les informations permettant d’identifier un individu (nom, coordonnées, identifiants numériques, numéro de sécurité sociale, etc.) ;
• Et les données dites « sensibles » au sens du RGPD, qui portent sur l’origine, la santé, les opinions politiques, les convictions religieuses, l’appartenance syndicale ou l’orientation sexuelle des personnes concernées.

Ces données concernent principalement les clients, les prospects, les collaborateurs, les fournisseurs et les partenaires de l’entreprise.

2. Les données protégées par des droits de propriété intellectuelle

Les informations protégées par droits d’auteur, brevets ou savoir-faire représentent un actif précieux et stratégique pour l’entreprise. Cela inclut notamment les innovations, les résultats de recherche, les codes sources ou tout autre élément protégé par des droits spécifiques.

3. Les informations stratégiques de l’entreprise

Que ce soit les données financières, les bases clients et fournisseurs, les stratégies commerciales ou les politiques tarifaires, leur divulgation pourrait nuire à la compétitivité de votre organisation ou procurer un avantage concurrentiel à des concurrents.

Toutes ces données doivent bénéficier de mesures de sécurité renforcées et d’un contrôle strict des accès.

Est-ce que certaines données de l’entreprise peuvent être utilisées par les collaborateurs à titre personnel ?

Un usage strictement encadré des données propriétés de l’entreprise

Tant qu’ils n’ont pas obtenu l’autorisation explicite de l’entreprise, vos collaborateurs ne sont pas autorisés à utiliser les données propriété de l’entreprises mentionnées précédemment.

Toute utilisation de ces informations, par un collaborateur, hors du cadre de l’entreprise, pourrait constituer pour l’entreprise une violation du RGPD, un acte de contrefaçon ou une violation des accords de confidentialité (y compris des accords contractuels avec des tiers), et ainsi compromettre sa position concurrentielle.

Un usage possible des données génériques de l’entreprise

Sur les réseaux sociaux, les collaborateurs peuvent librement mentionner des informations publiques ou générales relatives à l’entreprise, dès lors qu’elles sont déjà accessibles à tous. Par exemple, partager une nouveauté publiée sur le site web de l’entreprise ou un entretien du dirigeant dans la presse ne pose aucune difficulté.

Les collaborateurs et anciens collaborateurs peuvent aussi mettre en avant leur expérience professionnelle sur les réseaux sociaux, sous réserve de respecter les trois principes suivants :

1. Exactitude des informations : les éléments partagés doivent correspondre à la réalité ;
2. Actualisation du profil : un collaborateur ne peut pas se présenter comme encore en poste après avoir quitté la société ;
3. Respect des droits de propriété intellectuelle des tiers : il est interdit d’utiliser les noms ou logos de clients sans leur accord.

Quelles mesures adopter pour prévenir les risques de mauvaise utilisation ou de fuite des données appartenant à l’entreprise par un collaborateur ?

1. L’encadrement contractuel

Il convient d’instaurer un cadre contractuel précis dès l’arrivée du collaborateur. Cela passe par l’insertion de clauses de confidentialité dans les contrats de travail ou de prestation. Pour les missions particulièrement sensibles, des accords de non-divulgation (NDA) peuvent être établis pour renforcer la protection des informations. L’ajout de pénalités contractuelles peut également dissuader les comportements à risque et limiter le besoin de recourir à la justice.

De plus, l’intégration de clauses de non-concurrence permet d’éviter qu’un collaborateur exploite les données de l’entreprise à des fins personnelles ou concurrentielles. Par ailleurs, il est recommandé d’inclure des dispositions spécifiques relatives au respect de la législation sur la protection des données, notamment le RGPD.

2. Les chartes internes et la sensibilisation

Vous pouvez compléter ces dispositifs par la mise en place de chartes internes au sein de votre entreprise, qui définissent les usages autorisés, les interdictions et les précautions à respecter.

On préconise généralement :

• Une charte sur la gestion des données personnelles, rappelant les obligations et limites applicables ;
• Une charte informatique, qui fixe les bonnes pratiques notamment en matière de cybersécurité ;
• Une charte sur l’intelligence artificielle, afin d’encadrer l’utilisation de ces technologies au sein de l’organisation.

La formation de vos collaborateurs occupe également une place centrale. Elle permet de les sensibiliser aux enjeux liés à la protection des données de l’entreprise. Par ailleurs, ces actions de sensibilisation permettent à votre entreprise de remplir son devoir d’information, ce qui peut être utile en cas de contentieux.

3. Les processus internes et la sécurité technique

Enfin, nous vous conseillons de définir des procédures internes visant à restreindre l’accès de vos collaborateurs aux données nécessitant une protection particulière, en réservant leur consultation aux seules personnes habilitées.

En parallèle, vous devez aussi sécuriser l’ensemble de votre système d’information : serveurs, équipements professionnels et messageries doivent bénéficier de protections adaptées.

Quels sont les recours possibles pour une entreprise en cas de divulgation de ses données par un collaborateur ?

Lorsqu’une divulgation de données survient et qu’il n’est plus possible de revenir en arrière, vous devez agir rapidement pour limiter les conséquences sur votre entreprise. 
Voici les principales actions à mettre en place :

• Renforcer la sécurité de votre système d’information ;
• Limiter la propagation de la fuite ;
• En cas de compromission de données personnelles, signaler l'incident à la CNIL dans un délai de 72 heures et avertir les personnes concernées lorsque la violation engendre un risque élevé pour les personnes affectées.
  Découvrez comment réagir face à une violation de données

Le collaborateur à l’origine de la fuite peut être sanctionné sur le plan disciplinaire, voire licencié pour faute grave, et faire l’objet de poursuites judiciaires. Par exemple, le vol de fichiers, qu’ils soient physiques ou numériques, constitue un abus de confiance, passible de sanctions pénales. Il est donc essentiel que votre entreprise puisse justifier de la mise en place des dispositifs de protection appropriés.

Le télétravail accroît-il les risques d’atteinte aux données de l’entreprise ?

Le télétravail accroît les risques de fuites de données. Il expose les entreprises à plusieurs types de menaces :

• Le vol d’équipements professionnels (ordinateurs, smartphones, tablettes) transportés entre le domicile et le lieu de travail, susceptibles de contenir des informations sensibles ;
• La confusion entre usage professionnel et personnel du matériel : installation de logiciels ou d’applications non sécurisés, stockage de données hors des espaces prévus… ;
• Des accès à distance via des réseaux non protégés, ce qui exige une sécurisation renforcée des appareils mis à disposition des collaborateurs.
  Découvrez comment vous prémunir des risques de cybersécurité

👉 La protection des données de l’entreprise constitue un enjeu majeur, d’autant plus incontournable avec le développement du télétravail et la multiplication des risques liés à l’utilisation des outils numériques. Pour préserver la confidentialité des données propriétés de votre organisation, vous devez adopter la bonne approche : encadrement rigoureux, formation continue et sécurisation renforcée. Ces bonnes pratiques permettent de limiter les risques de fuite et de préserver votre avantage concurrentiel.