[DOSSIER] Intelligence stratégique et nouvelle gouvernance des données

Le management stratégique de l'information n'est plus seulement un atout essentiel dans la vie économique, c'est également une exigence de conformité. Trois évolutions législatives récentes sont au cœur du bouleversement de la gouvernance des données dans les entreprises : le RGPD entré en application le 25 mai 2018 renforce les exigences en matière de données à caractère personnel (I) ; le secret des affaires à la française a été récemment rénové (II) ; la loi dite Sapin II de 2016 impose, avec d'autres textes étrangers, des diligences en matière de prévention de la corruption et des manquements à la probité (III). Quelles conséquences pour l'intelligence stratégique ?

I) Les données à caractère personnel : halte au fichage, prudence et rigueur exigées ?

Le règlement (UE) 2016/679 dit règlement général sur la protection des données s'applique aux traitements de données à caractère personnel effectués sur le territoire de l'Union européenne depuis le 25 mai 2018. Ce texte promeut le concept de « privacy by design and by default » selon lequel toute opération de traitement de données à caractère personnel (se rapportant à une personne physique identifiée ou identifiable) doit être conçue et paramétrée de façon à minimiser l'impact sur sa vie privée. On peut, pour simplifier et sans aborder les nombreux aménagements prévus, résumer l'objectif recherché ainsi :

Les informations collectées et traitées doivent être strictement nécessaires à la finalité du traitement (minimisation), accessibles aux seules personnes ayant un intérêt légitime à y accéder (classification), anonymisées ou pseudonymisées dans la mesure du possible, conservées pour une durée strictement nécessaire et ceci de façon sécurisée tout en permettant à la personne concernée de retirer (le cas échéant) son consentement, de rectifier les erreurs et d'exiger la portabilité de ses données. Chaque nouveau traitement doit reposer sur un fondement licite et la personne concernée doit, sauf exceptions, en être informée.

Si le consentement est le premier fondement juridique du traitement de données à caractère personnel, le règlement (article 6) prévoit que le traitement est également fondé lorsqu'il est nécessaire à : l'exécution d'un contrat ou l'accomplissement de formalités pré-contractuelles avec la personne concernée ; au respect d'une obligation légale ; à la sauvegarde d'intérêts vitaux d'une personne physique ; l'exécution d'une mission de service publique ou l'exercice de l'autorité publique ; l'intérêt légitime poursuivi par le responsable du traitement tant qu'il n'y a pas de contradiction avec les droits et libertés fondamentaux de la personne concernée par le traitement.

Cette notion d'intérêt légitime est perçue comme la « notion trouble » par excellence qui pourrait justifier de nombreux traitements. La Commission européenne fournit quelques éléments d'interprétation du terme d'intérêt légitime : prospection, prévention de la fraude (due diligence) ou sécurisation des systèmes d'informations (les experts en cybersécurité n'ont donc pas d'excuses pour ne pas assurer la sécurité des données à caractère personnel traitées par les systèmes qu'ils garantissent !) entrent dans le cadre de l'intérêt légitime, le responsable du traitement devant néanmoins informer les personnes concernées, sauf exceptions.

Une question épineuse se pose concernant le traitement qui peut être fait, par exemple dans le cadre d'une démarche d'intelligence stratégique, des données à caractère personnel d'origine source ouverte – dans le cadre d'une simple démarche d'OSINT ou, cas plus complexe, dans un traitement algorithmique (data science).

En effet, prenons l'exemple des informations rendues publiques via Facebook : la personne concernée a certes consenti au traitement de ses données par le réseau social et choisi ses paramètres de confidentialité. Cependant, elle n'a pas consenti à ce qu'une entreprise utilise ses données librement accessibles afin d'en réaliser un nouveau traitement, visant une autre finalité. C'est ainsi qu'à l'été 2018, l'ONG EU Disinfolab a fait l'objet de nombreuses plaintes auprès de la CNIL pour avoir produit et publié une étude du « bruit » généré sur Twitter autour de « l'affaire Benalla ». La décision de la CNIL n'a pas encore été rendue et sera certainement très éclairante. Cependant, il faut tenir compte de la vocation scientifique de la démarche de l'ONG qui fait l'objet d'aménagements spécifiques dans le règlement européen, de même que la liberté d'informer. Ainsi, des articles récents relatant les informations publiques de comptes Facebook de certains protagonistes du mouvement des gilets jaunes n'ont pas suscité autant d'émoi.

La problématique est quelque peu différente dans l'éventualité d'une recherche d'information destinée à servir une décision dans le cadre confidentiel d'une stratégie d'entreprise. Dans le flou juridique, une démarche éthique peut servir de guide : la première étape du cycle du renseignement, celle de la détermination et de l'expression du besoin, devrait systématiquement intégrer la préoccupation de ne rechercher que ce qui est nécessaire, par exemple pour documenter une conformité à la loi Sapin II (cf. la partie III. de ce dossier) lors d'une due diligence.

Mais même dans ce cadre, l'obligation de principe d'informer la personne dont on traite les données personnelles peut poser de graves problèmes, comme le montre cette étude de cas concernant un processus de cession d'entreprise où l'information des salariés d'un nouveau traitement de leurs données dans le cadre de l'audit pourrait compromettre l'opération envisagée. L'article 14 du règlement prévoit néanmoins quelques exceptions à ce devoir d'information qui semblent permettre de traiter des données personnelles d'origine « sources ouvertes » sans en informer la personne concernée, notamment lorsque cette information compromettrait la réalisation des objectifs dudit traitement. L'application concrète de ces exceptions nécessite cependant d'être éclairée. 

En pratique, il paraît inimaginable que chaque entreprise informe systématiquement chaque personne concernée lorsqu'elle effectue une recherche sur les réseaux sociaux pour informer une décision ou une stratégie. La simple consultation n'atteint d'ailleurs pas la vie privée de la personne concernée (ou du moins ne l'atteint que dans la mesure qu'elle a elle-même déterminée en rendant certaines données librement accessibles), mais n'amplifie nullement cette publicité. Elle n'accapare pas non plus la donnée de sorte que l'individu concerné n'en perd pas la maîtrise. Il n'y a donc pas de nouvelle conséquence sur sa vie privée, ni réellement de nouveau « traitement » de la donnée qui lui échappe. Or ces enjeux sont au centre du texte et doivent présider à la nouvelle gouvernance des données à caractère personnel.

Notons enfin que le règlement n'est que la pierre angulaire de ce paradigme (relativement) nouveau. Outre l'exigence de conformité, l'objectif poursuivi est celui d'une évolution des mentalités et des pratiques. C'est ainsi qu'en France, la CNIL produit du contenu et des outils d'aide à la mise en conformité, mais mène également un important travail de sensibilisation et d'influence.

II) Secret des affaires : protéger implique une réflexion et des actions

La loi n°2018-670 du 30 juillet 2018 relative à la protection du secret des affaires est presque passée inaperçue dans le torrent d'informations juridiques déclenché par l'entrée en application du RGPD. Elle n'est pourtant pas négligeable et exige, pour que la protection soit accordée, que l'entreprise s'engage dans une démarche de classification de l'information qui ne fait pas encore partie intégrante des codes culturels de toutes les entreprises et industries.

La protection du secret des affaires s'applique à des informations remplissant cumulativement ces 3 conditions : 

1. L'information doit être inconnue du public ou du domaine d'activité concerné.
2. L'information doit avoir une valeur commerciale réelle, ou au moins potentielle parce qu'elle est gardée secrète. 
3. L'information doit faire l'objet de mesures particulières visant à la garder secrète (classification...).

Ce dernier point implique donc d'identifier les informations critiques, éventuellement de hiérarchiser les degrés de criticité, puis d'organiser les modalités d'accès et de diffusion adéquates.

Bien évidemment, des exceptions sont prévues : lanceur d'alerte légitime, maintien de l'ordre public, contrôle ou enquête judiciaire/administrative... Mais hors de ces cas, le secret est protégé par la loi. Ainsi par exemple, lors d'un procès exigeant la communication de certaines informations relevant du secret des affaires, une procédure particulière sera mise en œuvre pour assurer la non-divulgation des informations protégées.

III) La lutte contre les manquements à la probité et autres malversations : renseignement obligatoire

L'économie, nous l'avons déjà entrevu avec le RGPD, doit désormais supporter le poids d'une certaine éthique. Ce levier est même devenu stratégique : par exemple, c'est au nom de la lutte contre la corruption que l’extraterritorialité du droit américain s'applique, occasionnant parfois de lourdes sanctions qui fragilisent l'économie non-américaine.

La corruption, le trafic d'influence, la fraude fiscale et le blanchiment ou encore le financement du terrorisme sont devenus de véritables risques pour les acteurs économiques, appelant une vigilance particulière et un véritable travail de veille et de renseignement dans la vie des affaires.

La loi n°2016-1691 du 9 décembre 2016, dite « Sapin II », comporte 3 volets, dont deux nous intéressent dans le cadre de ce dossier. Notons que si ces exigences s'imposent de plein droit aux seules entreprises dépassant certains seuils (500 salariés, 100 millions d'euros de CA consolidé), la démarche devrait, toute proportion gardée, inspirer tous les entrepreneurs, la tendance étant plutôt à l'extension du domaine de la compliance qu'à sa restriction.  

- Le premier volet concerne la transparence et oblige notamment les représentants d'intérêts (lobbyistes) à s'inscrire sur un répertoire national et à déclarer leurs démarches auprès des autorités publiques à la Haute Autorité pour la Transparence de la Vie Publique, laquelle enregistre également les déclarations (patrimoine, intérêts...) des responsables publics.

En outre, un statut unifié du lanceur d'alerte est créé par cette loi. Si le champ des comportements susceptibles d'être révélés via un processus d'alerte est assez large, la mise en œuvre et l'aboutissement de la procédure prévue semble relativement ardue.

- Le second volet concerne la prévention de la corruption et autres manquements à la probité (trafic d'influence, concussion, prise illégale d'intérêt, favoritisme et détournements de fonds publics). On peut avant toute chose noter que ce volet a une vocation extraterritoriale qui avait pour objectif de permettre aux autorités françaises de tenir en échec la stratégie extraterritoriale américaine.

Il faut donc souligner qu'outre ce texte français, d'autres textes étrangers concernant la même problématique et ayant une même vocation extraterritoriale existent et s'appliquent, si bien que le risque de non-conformité en la matière ne peut pas être géré au regard de la seule loi française dès lors qu'une dimension internationale est en jeu : citons le fameux Foreign Corrupt Practices Act américain, ou encore le UK Bribery Act.  

Ce volet impose aux acteurs économiques les plus importants d'entreprendre une véritable démarche de gestion du risque pénal en respectant 8 points clefs, dont certains relèvent d'une démarche de renseignement économique (cf. notamment le point 4 relatif aux due diligences) et de management stratégique de l'information (cf. notamment le point 3 relatif à la cartographie des risques).

1. Elaboration d'un code de conduite présentant les comportements relevant des infractions de corruption ou de trafic d'influence. Ce code peut également servir de support à la promotion des valeurs de l'entreprise et donc à un travail d'influence.

2. Dispositif d'alerte interne.

3. Cartographie documentée et tenue à jour des risques d'exposition à des atteintes à la probité (corruption, trafic d'influence...) au sein de la structure basée sur une analyse du risque inhérent à la structure et à l'activité concernée. S'impose donc un véritable travail de veille et de renseignement interne.

4. Evaluations des partenaires (due diligences) hiérarchisées : priorité aux partenaires mis en évidence par la cartographie des risques, puis enquête proportionnée en fonction des signaux apparents. Là encore, c'est un pur travail de renseignement économique.

5. Contrôles comptables (audit) ciblés sur d'éventuelles traces de corruption/trafic d'influence.

6. Sensibilisation et formation du personnel.

7. Procédures de sanction disciplinaire de la violation du code de conduite.

8. Contrôle, évaluation et entretien de la politique anticorruption.

Notons l'existence de l'Agence française anticorruption, qui a publié récemment un premier guide pratique. On peut cependant regretter sa légèreté et sa publication relativement tardive, tandis que de nombreux organismes privés avaient déjà fourni un important travail de documentation lors de l'entrée en vigueur de ces dispositions.

Commentaires

Posts les plus consultés de ce blog

[RECENSION] Le renseignement humain à l'ère numérique de Terry Zimmer

[REPORTAGE] Journée « Temporalités des crises » à Lyon

[FLASH] La France a désormais une doctrine militaire de « lutte informatique offensive »