Réseaux Sociaux Internes : gérer la "compliance" et le risque légal

Sujet largement délaissé alors que les projets étaient encore balbutiants, la question de la « compliance » commence à se faire une place de choix dans les préoccupations des entreprises lorsqu’elles installent un réseau social

De quoi s’agit il ? Simplement de la conformité de l’utilisation faite du réseau social avec les règles. Des règles qui peuvent aller du réglement interne de l’entreprise aux lois nationales et internationales.

Exemples : comment s’assurer que les salariés ne vont pas discuter de sujets hautement confidentiels dans le RSE (un nouveau produit encore au stade de la recherche) ? Comment s’assurer que personne ne crée un groupe sur un sujet interdit ? Comment savoir si le RSE est utilisé pour organiser et coordonner des activités pénalement répréhensibles (car l’utilisation d’un outil de l’entreprise pour commettre un délit rend l’entreprise coupable) ?

La liste et longue et le niveau des préoccupations va de la sur-protection (sujets sans conséquence, c’est l’entreprise qui se veut restrictive) au simple respect de la loi. Les entreprises du secteur bancaire, par exemple, sont soumises à un certain nombre de règles leur interdisant des pratiques de partage et circulation de l’information qu’on pourrait trouver normales partout ailleurs.

La compliance : champ de mine de l’intranet social

Un dernier point avant d’aller plus loin. Ce sujet n’est aucunement propre au RSE mais concerne tous les outils de communication/collaboration de l’entreprise. La mise en place d’un RSE est parfois l’occasion de se rendre compte qu’elle a été plus que négligente sur le passé ou, à l’inverse, de « calmer » le jeu face à des préoccupations exagérées à la fois inutiles et contreproductives.

On peut envisager le sujet sous deux angles : prévenir les mauvais usages a priori et les corriger à posteriori.

Pour la prévention il existe deux mécanismes simples et connus. Le premier est technologique et ne consiste ni plus qu’en une validation a priori de toute forme de publication. Inapplicable dans le cas d’un réseau social ou d’un outil de travail. Reste donc le second : sensibilisation des salariés et encadrement par une charte, un règlement. C’est une démarche qui est de toute manière indispensable qu’on soit un paranoà¯aque du risque légal ou pas, une simple question de bon sens.

Reste donc la question de la correction a postériori. Car même dans le meilleur des mondes, chartes et bon sens ne sont pas toujours suivis. D’abord parce l’erreur existe, même commise de bonne foi, ensuite parce que dans l’hypothèse où certains individus seraient mal intentionnés, ça n’est pas une charte qui va les arrêter. Rassurez vous, il n’existe à ma connaissance aucun cas d’utilisation malveillante d’un RSE qui soit parvenue jusqu’à mes oreilles mais il n’empêche que l’entreprise peut être légalement responsable si elle n’a pas pris les dispositions nécessaires à la prévention du risque et à sa « correction » s’il venait à se réaliser. Ca n’est pas une question de confiance ou non, c’est une question de gestion des risques et de respect de la loi. Fin des débats.

Cessons de crier haro sur le service juridique qui joue les empêcheurs de partager en rond : pour lui le terrain est un véritable champ de mine et l’entreprise paiera la négligence au prix fort.

On voit trois attitudes par rapport à la question.

Ne rien faire

C’est la solution qui a prévalu pendant longtemps et continue d’avoir la cote dans nombre d’organisations même si on commence à prendre conscience de l’enjeu. Logiquement ce sont souvent les entreprises qui ont commencé tôt, où on était à des années lumières de ce type de question. Mais avec le temps le réseau social a atteint une taille et une position critique et on sait qu’il faudra bien traiter le sujet un jour ou l’autre.

Cette position est très « 2.0 » et repose sur la confiance envers les utilisateurs et la volonté de respecter un principe de « non contrôle ». Position philosophique louable bien que parfois tout simplement risquée au regard de la loi.

Laisser faire, compliance humaine ou compliance logicielle

Mettre en place une compliance « humaine ».

L’idée est donc d’identifier les sujets proscrits. Une ou plusieurs personnes, souvent le community manager, se voit donc octroyés des droits d’accès à l’ensemble des espaces de la plateforme, privés ou non, afin de contrôler que personne ne l’utilise pour organiser un acte terroriste, partager les numéros de cartes bancaires des clients ou évoquer le projet DXB489, futur produit sur lequel repose la survie de l’entreprise.

Une solution qui présente un avantage : elle est simple à mettre en œuvre et ne demande pas d’investissement démesuré (sauf le jour où la taille du réseau social nécessitera le recrutement d’une armée de surveillants). Par contre elle pose une vraie question de confiance : dans quelle mesure les utilisateurs continueront ils à avoir confiance dans le réseau social si ils savent qu’une ou plusieurs personnes peuvent regarder ce qui se passe dans leurs groupes privés ? Risque de « flicage », place de l’arbitraire dans le jugement…il y a un risque réel de tuer la dynamique dans l’œuf.

Ceci dit la situation est tout sauf neuve. Coté DSI les administrateurs des applications ont déjà accès aux contenus des espaces collaboratifs, des emails et toute entreprise qui se respecte se doit d’enregistrer les logs et messages de la messagerie instantanée. Mais c’est un fait souvent ignoré de l’utilisateur final et, de plus, se pose ici la question d’un pouvoir donnée à une personne « non IT ». Ce qui déplace la question du coté de l’éthique mais, surtout, du nécessaire contrôle auquel devra être soumise la personne en question.

Mettre en place une compliance logicielle

La compliance humaine ne pose pas tant la question de l’accès au données : tout le monde sait dans l’entreprise qu’elles peuvent être enregistrées et contrôlées, voire doivent l’être lorsque la loi en dispose ainsi. Le sujet ne fait pas plus débat que cela dans la mesure où il existe des dispositifs de contrôle et ou le droit français prévoit aussi des mécanismes de protection (CNIL etc…). Ce qui fait débat est le caractère humain du dispositif : l’humain est faillible, l’humain a des opinions, l’humain peut être arbitraire, l’humain peut raconter ici ce qu’il a lu là .

On peut alors traiter le problème par le logiciel. Rien de neuf ici : les solutions de e-discovery n’ont rien de neuf et scrutent déjà messageries et messageries instantanées depuis des années. Ce qui est nouveau est leur application au réseau social qui était, jusqu’à présent, un petit havre de confiance et de non contrôle. Le fonctionnement est simple : le logiciel scrute chaque action, chaque log et détecte, au choix, l’utilisation d’un mot interdit, d’un type de contenu interdit (une suite de chiffres ressemblant à un numéro de carte bancaire…) et le signale à un administrateur. Celui-ci ne voit alors que le texte concerné, pas l’ensemble de la communauté ou de la conversation. Il peut décider alors que le contenu est conforme, demander des explications à l’auteur, le mettre en quarantaine en attendant de pouvoir statuer ou l’effacer directement.

La compliance logicielle : seule solution à grande échelle

Je rappellerai juste que dans certains secteurs d’activité ce mécanisme est obligatoire et imposé par la loi. Une entreprise doit pouvoir prouver qu’une information a été (ou pas) partagée, qui l’a lue ou pas, et ce quand bien même elle aurait été effacée par son auteur au bout de quelques heures.

J’avais assisté à une session sur le sujet de la compliance lors d’IBM Connect 2013. Alors que les projets de réseaux sociaux d’entreprise gagnent en taille et en visibilité j’avais trouvé que les solutions présentées (celles d’Actiance en l’occurrence) faisaient écho à nombre de questions qu’on peut entendre dans de grandes entreprises ainsi qu’aux contraintes légales auxquelles font face des entreprises internationales qui peuvent avoir besoin de niveaux de compliance différents selon les pays.

– mécanismes de e-discovery tels que présentés ci-dessus

– possibilité de « cacher » tout ou partie des contenus en fonction des lois locales. Par exemple (cas vécu) le communauté sur l’oenologie et certains « centres d’intérêts » du profil qui ont du sens en France peuvent être illégaux dans certains pays du Moyen-Orient. Ou encore dans le cadre d’une fusion une partie des contenus d’une entreprise ne pouvaient être visible d’une partie des salariés de l’autre tant que le processus n’était pas achevé…

– bénéficier d’une plateforme de compliance unique pour l’ensemble de vos outils : messagerie instantanée, réseau social etc… et pour tous les éditeurs majeurs.

– prise en compte des réseaux sociaux externes (Facebook etc.).

Si la mise en place d’une telle solution est bien plus onéreuse elle présente l’avantage de fonctionner à grande échelle et de régler les problèmes de confiance dans l’humain.

Si aucune solution n’est parfaite une chose est sure : cacher le problème sous le tapis et nier le risque n’est certainement pas la meilleure. Il existe un juste milieu entre le laisser faire et la suppression pure et simple des outils de communication comme cela est en train de se passer chez JP Morgan.

Dernier point : quel que soit le mécanisme choisi il ne dispensera jamais de se doter des bonnes procédures, et de traiter le risque humain par des dispositifs humains eux-aussi.