Pour gérer vos consentements :

Vos données sensibles de réunion sont-elles bien protégées ?

Publié par Skope le - mis à jour à

Fuite de données sensibles, confidentialité voire même cyber-attaques ... autant de notions de plus en plus récurrentes dans votre quotidien . Au-delà des risques, il est notamment question de performance et d'agilité. Voilà pourquoi il est désormais impossible d'en faire abstraction

Vous êtes les premiers concernés

Rendez-vous stratégiques de toute entreprise, les comités de direction et conseils d'administration font surement partie des rencontres les plus sensibles de votre société. Pourtant, ce sont peut-être les moins sûres... Dans la majorité des entreprises la diffusion des comptes rendus de réunion s'effectue toujours par email et leur organisation reste difficilement traçable.

En tant que directeurs administratifs et financiers, la protection des données des réunions de gouvernance est certainement dans vos top priorités. Comme 38% des dirigeants de système d'information, vous pensez peut-être que la prise de décision stratégique de votre entreprise est ralentie en raison de processus de gestion des données inefficace. Les conséquences peuvent être paralysantes pour votre organisation. Une étude internationale (menée par Vanson Bourne pour Veritas) fait état d'une perte de plus de 2 millions de dollars par an face aux défis de la gestion des données.

C'est une véritable prise de conscience collective qui doit opérer. Entre risques et solutions nouvelles, comment s'atteler véritablement à la protection de vos données sensibles ?

Vos données sont la clef de voûte de votre organisation

Précisons tout d'abord la notion de gouvernance des données :

Elle désigne l'organisation et les procédures mises en place pour encadrer les pratiques de collecte et d'utilisation des données au sein d'une organisation. La gouvernance des données vise à optimiser l'efficacité de l'usage des données dans le respect d'un cadre juridique et déontologique.

Les conseils d'administration ou comités de direction rassemblent, sans aucun doute, toutes les données sensibles de votre entreprise. Elles constituent une toile formant un point d'accès privilégié à votre structure. A l'issue des comités opérationnels, de pilotage ou de développement, ce sont les instances de gouvernances décisionnelles qui décident des orientations futures. Tout est alors soigneusement consigné dans des ordres du jour, des programmes et surtout des comptes rendus de décision.

Imaginez qu'un oeil malveillant ait accès à certaines de ces données. C'est toute la stratégie d'entreprise et les actions menées qui s'en trouveraient menacées.

Les risques sont présents à plusieurs étapes, strates et échelons pourtant les pratiques sont souvent inchangées et peu standardisées malgré l'augmentation croissante des cybers attaques et le durcissement du cadre règlementaire :

· La sauvegarde des données : pour éviter les risques de perte lors des transmissions par un assistant.

· La confidentialité des données en interne : permet de garantir son accès selon son mandat et ses attributions et éviter les échanges d'emails, d'envoi à la mauvaise personne, de mot de passe en clair ou sur post-it, etc...

· La confidentialité des données en externe : pour lutter contre la divulgation de savoir-faire à la concurrence via des impressions papier par exemple.

· La véracité des données. Vous encourez des risques d'inexactitudes qui fausseraient les prises de décisions, de modifications frauduleuse du fichier pdf par exemple ou non traçabilité des modifications.

Interrogé lors du webinaire Skope, le 17 janvier dernier, Sheenagh Gordon-Hart (Partner chez The Directors' Office) évoquait : " Cette accessibilité de la donnée limite aussi les asymétries d'information, ce qui est particulièrement important notamment pour les administrateurs indépendants... ".

Ne risquez plus la responsabilité de votre entreprise

Il existe des lois pour protéger les principales données sensibles. A l'instar de la protection de la propriété intellectuelle, le législateur a mis l'accent au niveau Européen en 2018 sur l'accès et la protection des données personnelles. Le 25 mai dernier, la mise en oeuvre effective de la RGPD " règlement général sur la protection des données " marque une volonté forte de transparence vis à vis des données personnelles, tout comme une sensibilisation des tous les acteurs économiques, à plus de vigilance en matière de protection des données. Enfin, la loi européenne de prévention des abus de marché sur les marché financiers , implique tout particulièrement les responsables financiers dans la lutte contre les risques de divulgation illicite d'informations privilégiées.

La responsabilité des données échangées lors des réunions de direction n'incombe donc plus seulement à un responsable juridique ou RSSI, ce sont l'ensemble des acteurs décisionnels qui doivent être garants de leur intégrité.

Le cyber risque n'est plus "une complainte de RSSI", comme le martelait Jean-Jacques TOURRE ( RSSI du Groupe TOTAL) lors d'une table ronde du CIGREF.

Les impacts de fuites de données d'un comité stratégique sont de plusieurs natures et degrés d'implication :

- Judiciaires (pouvant aller jusqu'à l'implication pénale du dirigeant),

- Financiers (d'après Jacques Tourre, le cyber risque dépasse les 400 milliards de dollars),

- Managériaux et humains.

"Toute information stratégique est confidentielle et peut un avoir un impact critique si elle parvient aux oreilles d'une personne non habilitée à la posséder: employés, concurrents, clients ou investisseurs. ", d'après Benoît van den Hove, Head of Listing Brussels d'Euronext.

Protégez vos intérêts, ceux de votre entreprise et de vos clients

A contrario, les bénéfices d'une bonne gestion de vos données de gouvernance sont payants :

· une meilleure conformité vis à vis de la législation

· plus de sécurité

· une réduction des coûts

· une productivité accrue

Les entreprises en pointe sur l'intégration totale de leurs données (c'est à dire ayant adopté des règles, des outils et une organisation de la donnée), évoquent leurs bonnes pratiques :

· adopter une stratégie centralisée,

· choisir les bons outils et la technologie appropriée,

· s'entourer de partenaires expérimentés sur ces environnements complexes,

· avoir l'appui et la motivation de l'équipe dirigeante.

Un exemple de contrôle et accès à la donnée (imposé par la loi PACTE ) serait de pouvoir évaluer de façon régulière la contribution sociétale de l'entreprise. Concrètement, cela implique de pouvoir " montrer " les décisions prises en comité de direction en ce sens.

L'objectif de cette présentation des différentes législations et risques inhérents à la protection de la donnée, n'est aucunement de complexifier la chaîne de transmission des documents liés à ces réunions. Il s'agit plutôt de vous montrer comment une bonne utilisation de la donnée peut augmenter considérablement la fluidité des échanges entre les dirigeants et la productivité de l'entreprise.

Le rôle des directeurs Administratifs et financiers est double dans ce défi de la donnée. Il consiste à la fois à garantir la sécurité des données et la diffusion de ces politiques de protection à l'ensemble de l'organisation, mais également d'octroyer le budget nécessaire à une véritable politique de sécurisation de la gouvernance de l'entreprise.