Comment se prémunir du vol de données en interne
C'est un fait: vous ne pourrez jamais empêcher totalement un commercial de partir avec des données! Toutefois, vous pouvez prendre des précautions techniques, juridiques et de bon sens pour réduire ce risque.
Je m'abonneIdentifier les données sensibles
Partir en croisade contre les voleurs est inutile sans déterminer, au préalable, les données qui ne doivent absolument pas sortir de l'entreprise... La première étape consiste donc à classifier vos informations sensibles afin de déterminer, dans un second temps, dans quelle mesure vos commerciaux pourront y accéder.
Pour effectuer ce classement, demandez-vous quelles données seraient dangereuses si elles devaient tomber chez un concurrent. En effet, leur caractère sensible peut varier dans le temps en fonction des signaux faibles ou forts qu'elles donneraient à vos concurrents sur l'imminence de projets en cours ou à venir en interne.
Cette classification porte ainsi sur l'ensemble de vos données: contacts et historiques client, politique de prix de l'entreprise, stratégie à l'égard des fournisseurs, plan de développement, etc. Ce travail s'effectue avec votre direction générale et éventuellement d'autres managers concernés. Par sécurité, limitez au maximum le nombre de personnes autour de la table.
Le point de vue de l'expert informatique
Pascal Antonini, associé chez Ernst & Young et président de l'Association française de l'audit et du conseil informatiques (AFAI)
« Sécuriser la conception du CRM »
« Vos commerciaux n'ont pas besoin de tout savoir et d'accéder à l'ensemble des informations de leurs collègues, par exemple, aux prix de vente pratiqués par ces derniers, ce qui pourrait ravir leur esprit de compétition mais ne s'avérerait pas forcément utile pour l'entreprise... Ainsi, la sécurisation de votre CRM est à prendre en compte dès la conception de l'outil. Il doit être conçu pour garder des traces de toutes les informations transitant par lui, y compris d'anciens comptes clients finalement désactivés. »
Paramétrer les droits d'accès et sauvegarder les données
Une fois ce travail de classification effectué, la deuxième étape consiste à définir des droits d'accès ou d'utilisation pour chacune de ces données dites «sensibles». A vous de définir ces droits pour vos commerciaux et le périmètre d'action de chacun (selon les documents: lecture seule, copie, modification, etc.), et de transmettre vos préconisations au service informatique qui prendra les mesures techniques nécessaires. Par ailleurs, au départ d'un commercial, veillez à désactiver ses codes d'accès à sa messagerie et à l'extranet de l'entreprise, ainsi que son badge d'entrée dans vos locaux.
En complément, les données de vos commerciaux doivent être régulièrement sauvegardées sur un serveur de façon automatisée. Cela évite non seulement de perdre des données en cas de problème technique avec un terminal mobile (ordinateur portable ou tablette), mais cela permet aussi à l'entreprise d'accéder à des copies même si, par exemple, les données en question ont été emportées par un commercial ayant quitté la société.
Utiliser des outils de sécurité adaptés
Une autre mesure technique est plébiscitée par les entreprises depuis un à deux ans. Pour améliorer la sécurité des serveurs de l'entreprise, il est aussi possible d'utiliser des outils DLP (data leak prevention ou data loss prevention) qui ont pour vocation d'empêcher la fuite de données vers l'extérieur. Par extension, ces outils logiciels peuvent aussi empêcher le commercial d'envoyer certaines données par e-mail.
Ainsi, chaque dossier ou fichier, quel que soit son format (Word, PDF...), propositions commerciales comprises, peut se voir attribuer des autorisations de lecture, d'écriture, d'impression, d'envoi par e-mail, de reproduction par le copier/coller, etc. De plus en plus, ces outils proposent des fonctionnalités de cryptage. Le but est de traquer les fichiers et les utilisateurs pour sauvegarder la sécurité des données de l'entreprise, voire d'empêcher qu'un tiers puisse ouvrir le fichier si jamais celui-ci était envoyé en dehors des locaux de la société.
Plusieurs prestataires, comme Cisco, McAfee, RSA, Symantec ou encore Websense, proposent de tels outils. Les tarifs sont généralement élevés car ce sont des systèmes complexes. Les offres sont basées soit sur un coût par utilisateur, soit sur un coût global. Dans ce cas, les frais peuvent atteindre 10 000 euros et plus.
Créer un climat de confiance
Rien ne sert de prendre des mesures techniques sans adopter une attitude appropriée. En effet, la sécurité est, avant tout, une affaire de management car dans tout dispositif de ce type, le maillon faible sera et restera toujours l'humain...
Ainsi, pour que ces mesures informatiques soient vraiment efficaces, il faut, en effet, qu'un climat de confiance règne dans l'entreprise. En tant que manager, à vous de faire en sorte que vos commerciaux se sentent bien dans la société et aient envie de la faire avancer. Pour cela, montrez-vous présent pour vos commerciaux, inculquez-leur la culture de votre entreprise, donnez-leur envie de rester et de se dépasser pour elle. A vous aussi de leur rappeler que les données et informations qu'ils détiennent sont cruciales pour la survie de l'entreprise. En effet, dans la plupart des cas, le commercial n'est sans doute même pas conscient de commettre un vol, parce qu'il estime légitimement que les données lui appartiennent. Pour remédier à cette ignorance, n'excluez pas de prévoir une communication spécifique sur le sujet, non pas pour les menacer (attention à ne pas altérer le climat de confiance régnant dans votre équipe), mais plutôt pour clarifier la situation.
Certes, ce management de confiance et de proximité n'empêchera sans doute jamais totalement votre commercial de partir avec des données lorsqu'il souhaitera poursuivre sa carrière ailleurs. Mais cela le dissuadera du moins d'en subtiliser durant le temps où il travaillera pour votre entreprise, et même, dans les cas extrêmes, de les transmettre à la concurrence si, par exemple, votre commercial ambitionne d'intégrer cette société à moyen ou long terme.
Par ailleurs, dans le cas précis où vous décideriez de vous séparer d'un vendeur, tant avant qu'après la fin de sa période d'essai, l'idéal est de faire en sorte qu'il ne puisse plus accéder aux données. Escorter un commercial jusqu'à la porte sans lui donner la possibilité de retourner à son bureau? Cette pratique, plus courante aux Etats-Unis qu'en Europe, reste une exception dans notre pays...
Enfin, quoi qu'il arrive, gardez aussi en tête que trop de protections tue cette confiance et peut ainsi s'avérer néfaste, voire contre-productif: le commercial ne doit pas se sentir frustré de ne pas avoir accès à certaines données dont il pourrait avoir besoin.
L'expert
Emmanuel Lehmann est diplômé de l'Essec et de l'Ecole de guerre économique. Il est le fondateur et directeur général du cabinet Citadelle spécialisé dans la sécurité de l'information et la gestion des risques pour les entreprises.
Le point de vue de l'avocat
Laurent Rubio, avocat au sein de Logelbach Associés, spécialiste du droit des contrats
« Soigner le contrat de travail de son commercial »
« En préambule, le contrat de travail est soumis aux règles du droit commun. Il s'agit de l'article L. 1121-1 du Code du travail. Le commercial sait qu'il doit adopter un comportement loyal vis-à-vis de son entreprise et que cette loyauté doit être réciproque. L'obligation de confidentialité existe donc indépendamment de toute clause expresse. Mais il faut que, de part et d'autre, le contrat soit respecté de bonne foi. Cela n'empêchera pas le commercial de partir avec des informations mais de les utiliser de façon préjudiciable pour l'entreprise. Toutefois, il est préférable pour l'employeur de matérialiser explicitement l'engagement de confidentialité, surtout pour se protéger, lorsque le contrat prend fin au départ du commercial. Il s'agit d'introduire une clause de secret de discrétion, de non -divulgation ou encore de confidentialité. Une clause correctement formulée présente aussi l'avantage de permettre au commercial de mieux apprécier ses droits et ses devoirs. A l'inverse, une clause trop générale risquerait d'être critiquée, voire annulée par des magistrats si le commercial et l'entreprise devaient se retrouver devant la justice. »