Sécurité
Publié le Juil 18, 2019
Dernière mise à jour 18.07.2019

·

Pourquoi et comment garantir la protection d’un document confidentiel ?

Pour protéger les données d’affaires d’une entreprise, il existe deux méthodes complémentaires. D’une part, il faut assurer la sécurité de l’authentification des accédants. De l’autre, il faut identifier le degré de confidentialité des documents gérés par l’entreprise, et savoir qui peut les consulter. Mais pourquoi est-ce si important, et surtout, comment assurer la protection d’un document confidentiel ?

Personnel et confidentiel : la différence entre les deux

Pour éviter toute confusion, faisons rapidement la différence entre une donnée personnelle et un document confidentiel.

Ce qu’est une donnée personnelle

Une donnée à caractère personnel est une information qui permet d’identifier une personne physique, directement ou indirectement. Cela peut être par l’utilisation d’une immatriculation (comme un numéro d’identifiant) ou de plusieurs données/caractéristiques personnelles.

Il arrive de parler aussi de donnée confidentielle. L’identification passe par un recoupement d’informations relatives à l’individu (nom de famille et prénom(s), adresse, date de naissance, adresse e-mail, numéro de téléphone, numéro de Sécurité sociale, etc.).

La nature d’un document confidentiel

Les entreprises ont la responsabilité de gérer un grand nombre de données de diverses natures. Plus l’entreprise est grande, plus la quantité de données à gérer est faramineuse. En vrac : statuts et données personnelles des employés, coordonnées des partenaires d’affaires, contrats d’entreprise, brevets divers, plans sociaux, rapports financiers et ainsi de suite.

Certaines de ces informations sont extrêmement sensibles et/ou secrètes, et elles transitent par des documents à caractère confidentiel. Lorsqu’on parle de document confidentiel, il s’agit donc de gérer le degré de confidentialité d’une information gardée et/ou transmise par l’entreprise.

La protection d’un document confidentiel

 Nous sommes au 21e siècle. Plus que jamais, la protection des informations est cruciale au bon fonctionnement d’une entreprise, encre plus lorsqu’elle mène ses affaires au niveau international. Sans cela, et sans se poser les bonnes questions, un document confidentiel risque de rapidement ne plus l’être.

 Le risque pour un document confidentiel

De nos jours, tout est dématérialisé ou presque. Le risque est peut-être moins courant de laisser par accident (ou de se faire dérober) une serviette remplie de documents. Mais à notre époque, les entreprises sont de plus en plus victimes d’espionnage virtuel et de piratage informatique. Il est légitime de s’inquiéter de la protection des documents confidentiels.

Par rapport aux documents sur papier, il est beaucoup plus difficile de récupérer une information qui a « fuité », ou de détruire toutes les copies. Si un e-mail sort du cercle privé de l’entreprise, c’est terminé. L’information voyage aussi vite que le ferait un fétu de paille balayé par le vent.

Les questions à se poser

Si une entreprise veut créer un document confidentiel aujourd’hui, il est essentiel qu’elle commencer par se poser les bonnes questions :

  • À qui est destiné le document en question ?
  • Combien de temps doit-il rester accessible ?
  • S’agit-il bien d’un document à caractère confidentiel ?

En répondant à ces trois questions, on peut ainsi déterminer quelle importance donner au document en terme de confidentialité. Et l’indiquer dans ledit document, pour protéger l’information sensible qu’il renferme.

L’aspect juridique du problème

Fixer un niveau de confidentialité pour des documents, cela découle de l’évolution des moyens de communication et d’échange entre les entreprises. Il faut pouvoir prévenir l’obtention, la divulgation et l’utilisation illégale d’un document confidentiel (secrets de fabrication, stratégie commerciale, compte-rendus de négociations, données sur la clientèle, etc.). Les entreprises ont donc des obligations à respecter si elles veulent protéger efficacement leurs échanges, surtout en phase pré-contractuelle.

L’obligation de confidentialité d’une entreprise

Lorsqu’elles sont en phase de négociations commerciales, deux entreprises doivent faire preuve de ce que l’on appelle la bonne foi contractuelle. Chacune a l’obligation de respecter la confidentialité des informations qu’elle détient, et ne pas s’en servir pour son propre compte. C’est pourquoi elles signent des accords de confidentialité.

Mais chaque entreprise est responsable de la sécurité des données d’affaires qu’elles détient. Elle doit mettre en place des protections raisonnables contre le vol ou la perte de documents. Autrement, elle ne pourra pas faire valoir ses droits devant un tribunal. Il faut donc mettre en place un processus qui soit capable de :

  • Identifier un document confidentiel ;
  • Classifier ce document ;
  • Protéger ce document par la méthode appropriée.

En cas de divulgation d’un document confidentiel

Compter seulement sur le principe de bonne foi contractuelle est une erreur. Le risque de voir un document confidentiel divulgué est d’autant plus grand. Si un document dont l’entreprise est responsable devait être rendu public, ou sortir du cercle privé auquel il appartient, l’entreprise peut être poursuivie par un tribunal.

Suivant les cas, le risque pour l’entreprise est :

  • Des poursuites pour concurrence déloyale (responsabilité délictuelle) ;
  • D’être poursuivie au pénal (pour la révélation d’une information secrète).

Comment protéger un document confidentiel

Il est donc important de protéger des documents conformément à leur importance. Lorsque deux entités commerciales communiquent des informations entre elles, il est nécessaire d’attribuer un code aux documents numériques. Ainsi, il est possible de les identifier comme un document confidentiel ou non. La marque indiquée sur le document fait office d’avertissement sur les conséquences possibles, en cas de perte ou de vol.

Pour garantir la protection d’un document confidentiel, il existe quatre codes différents. Chacun de ces codes indique ainsi clairement si l’information est publique, sensible, critique, ou si elle est d’importance stratégique.

Les documents marqués C0 ou NC

Les lettres NC signifient « Non Classifié ». Ce niveau de confidentialité représente littéralement le degré zéro (d’où le chiffre) de la sensibilité du document. Un document marqué « C0 » a le droit de circuler à l’extérieur de votre périmètre. Cela n’entraîne aucune conséquence en terme de sécurité, ni en terme de confidentialité.

Les documents marqués C1

Le label « C1 » indique que le document est voué à un usage interne. C’est souvent le niveau de confidentialité appliqué par défaut. Le document et les informations qu’il contient peuvent librement circuler à l’intérieur de l’entreprise, mais pas en dehors.

Les documents marqués C2

Quand un document est marqué « C2 », cela veut dire que la donnée sensible qu’il renferme est vouée à une diffusion restreinte. Ces informations ne peuvent pas être communiquées à d’autres personnes que celles disposant d’une autorisation. Les destinataires peuvent tout aussi bien être des personnes internes ou externes au service et/ou à l’entreprise.

Une violation de cette confidentialité peut nuire au fonctionnement du département, du domaine ou du service qui en est à l’origine. Éventuellement, l’entreprise risque des poursuites judiciaires.

Les documents marqués C3

Le label « C3 » est le plus haut degré de confidentialité attribué à un document. La donnée confidentielle qu’il renferme est classifiée secrète. On marque « C3 » un document dont la perte ou le vol risque de nuire aux intérêts stratégiques, à la sécurité ou à l’existence même de l’entreprise. Il n’y a que le personnel dûment habilité qui puisse attribuer ce degré de confidentialité à un document. Encore une fois, ces informations ne peuvent être consultées que par les personnes disposant d’une autorisation.

Vous connaissez maintenant les raisons qui poussent une entreprise à protéger l’accès à un document confidentiel. La simple bonne foi commerciale ne suffit pas pour garantir la sécurité des informations. Le risque de perte ou de vol informatique grandit avec le temps. Il faut donc mettre en place des dispositifs ainsi qu’une classification adéquats.

Contributeurs d'articles
Partager sur email
Partager sur linkedin
Partager sur twitter
Partager sur facebook

Articles associés

SecNumCloud, ce rempart de la souveraineté des données numériques pour un « Cloud de confiance ». Infographie.

Sécurité

Sep 16, 2022

Cybersécurité et régulation : bienvenue à la directive NIS2 !

Sécurité

Sep 07, 2022

Par secteur

Santé

Services publics

Énergie

Aérospatiale & Défense

Infrastructures critiques

Services financiers

Par département

Marketing & Ventes

R&D et Ingénierie

Risques et conformité

Services Financiers

Juridique

Ressources Humaines

Sécurité de l’information