Actu
Comment sensibiliser collègues et dirigeants à la Loi Informatique et Libertés ?
février 2011 par Emmanuelle Lamandé
Parmi les missions du CIL peut figurer « la sensibilisation des personnels aux dispositions de la loi ». Toutefois, motiver les troupes et leur faire accepter le changement relève parfois d’un véritable parcours du combattant. Alors comment s’y prendre ? Avec quels moyens et auprès de quels publics ? Quels sont les bonnes pratiques … et surtout les erreurs à ne pas commettre ? A l’occasion de l’Université de l’AFCDP, Bernard Foray, DSSI et CIL de Casino Technology, Christian Kopp, CIL de Smart, et Patrick Villard, RSSI et CIL de Swisslife, nous livrent leurs secrets.
« Le moyen d’être sauf, c’est de ne pas se croire en sécurité » (Thomas Fuller)
La sécurité des informations est affaire de culture d’entreprise, d’implication des dirigeants et d’engagement des collaborateurs. L’intelligence de la sécurité repose sur la création d’une véritable culture. Toutefois, sensibiliser peut s’avérer tumultueux, pour la simple et bonne raison que le changement est par essence difficile pour les Hommes. Selon la Loi Universelle, le caractère fondamental de l’être est la tendance à persister dans sa manière d’être. De plus, il ne faut jamais sous-estimer la force de l’inertie !
Alors pour marquer les esprits, et ce sur le long terme, il faut ruser … en faisant, par exemple, appel aux sens (visuel, auditif), à l’affectif… ou encore en créant des analogies avec le monde dans lequel les collaborateurs évoluent. De plus, il faut avoir à l’esprit que nous retenons mieux ce à quoi nous réfléchissons. Il est donc important de faire participer les gens, les faire réagir et débattre entre eux.
Si les utilisateurs perçoivent une utilité à un comportement sécuritaire pour leur vie privée, alors ils comprendront plus facilement les enjeux dans le contexte de l’entreprise
Au sein du Groupe Casino Technology, un programme de sensibilisation à la sécurité a été mis sur pied en adéquation avec la norme 27002. Cette démarche est issue d’un travail collaboratif entre les équipes sécurité, ressources humaines et communication. Un programme mis en exergue par des éléments visuels ludiques, tels que la création d’une mascotte et d’une bande dessinée, ou encore l’organisation de saynètes. L’objectif est d’essayer de toucher l’affectif des gens. Si les utilisateurs perçoivent une utilité à un comportement sécuritaire pour leur vie privée, alors ils comprendront plus facilement les enjeux dans le contexte de l’entreprise.
Au sein de son entreprise, le CIL doit axer ses premières actions sur la formation des personnes mettant en œuvre le traitement des données à caractère personnel (DCP), tout d’abord via une partie commune à tous, rappelant les grands principes de la Loi Informatique & Libertés et les missions de la CNIL, puis via une partie spécifique qui aborde les problématiques spécifiques à chaque service.
La protection des DCP doit être intégrée dans tous les processus de l’organisme, y compris dans la charte informatique. Celle-ci doit clairement indiquer que la consultation du CIL est obligatoire avant toute mise en œuvre de traitement de DCP. Les sous-traitants devront également être informés de leurs obligations. Pour ce faire, un article peut être ajouté aux Conditions Générales d’Achat.
Toutefois, la sensibilisation n’est pas qu’une affaire de prise de fonction ; elle doit se faire de manière régulière au fil du temps. Ce peut être via l’organisation de journées spécifiques à la sensibilisation, la mise en place de modules d’auto-formation en ligne et de validation des connaissances, … Pour sensibiliser les collaborateurs de manière durable à la sécurité, il ne faut pas perdre de vue l’entretien de la communication, via différents vecteurs : intranet, messagerie (avec modération), flux rss, et surtout ne jamais négliger les relais humains !
