Code de la Protection des Données personnelles, Code civil, Memento social et pieuvre de Murano
Cybersécurité Droit social Juin 2019 RGPD Stratégie

Email et RGPD : l’équilibre entre cybersécurité, sûreté, management et Droit – Pierre LOIR

par

Si la majorité des directives étaient fournies oralement dans les années 90, avec les risques de mauvaises interprétations que cela comporte, l’heure est aujourd’hui aux emails « copies-jointes », éternels et dupliqués dans autant de messageries. Cette pratique nous questionne, notamment lorsque l’on réfléchit au mariage entre email et RGPD.

La précarisation de la qualité des rapports humains dans l’entreprise, que ce soit du fait des innovations technologiques non contrôlées, du chômage de masse ou des risques managériaux, a incité les entreprises et les personnes à laisser de côté l’adaptation individuelle. Les échanges oraux ont été limités au profit de l’accumulation de verrous et de filets dans tout type de démarche.

Je ne parlerai pas ici de l’impact écologique du stockage de quantités d’informations pas ou peu utiles dans les serveurs de l’entreprise ou des hébergeurs (qui coutent cher à entretenir, chauffent beaucoup et consomment beaucoup d’électricité) : c’est un sujet écologique et économique sérieux mais qui n’est pas celui de cet article.

L’avantage de l’email et des copies-jointes

L’avantage de l’email, particulièrement adjoint de « copies-jointes » est de pouvoir démontrer à posteriori avoir lancé une action, demandé telle information ou transmis tel document. En cas de contentieux avec un sous-traitant, un salarié ou un manager, la consultation d’anciens emails envoyés est une garantie supplémentaire permettant d’éviter les « réécritures de l’histoire » afin de se protéger individuellement en cas de défaillance dans la chaine d’élaboration d’un projet.

A titre d’exemple, l’email et les copies-jointes sont des avantages certains en matière prud’homale. Le principe de « loyauté de la preuve » en Droit du Travail, adjoint des dispositions de la Loi Informatique et Libertés et du Règlement Général sur la Protection des Données (le RGPD) empêchent un salarié ou un employeur d’enregistrer un collègue à son insu. En effet, la preuve par tout moyen peut être invoquée en cas de contentieux pénal, mais pas devant les juridictions prud’homales. C’est donc au travers des échanges d’emails, aujourd’hui plus grands vecteurs de transmission d’informations professionnelles, que l’on peut respecter les lois existantes tout en justifiant une faute d’un salarié ou d’un autre acteur.

Deux cas emblématiques :

  • Un manager écrivant « viens ici » dans l’objet avec copie jointe à plusieurs membres de la direction dans des emails envoyés tous les jours au même collaborateur (dont le bureau est pourtant à quelques mètres) peut servir d’indice pour démontrer un harcèlement moral en cas de contentieux
  • De même, le dénigrement de l’entreprise dans les échanges entre deux collègues peut contribuer à justifier un licenciement pour faute.

Des effets pervers, plus délétères que cet avantage ?

La pratique de l’email systématique et de la copie-jointe appuie sur des penchants paranoïaques du monde de travail. En effet, celle-ci se base souvent sur l’absolue certitude d’un potentiel conflit ultérieur sur un projet ou une action, et démontre souvent une absence totale de confiance envers les collaborateurs ou les managers.

Que l’on ne me fasse pas dire ce que je n’ai pas dit : il est important dans certains cas qu’un certain nombre de personnes aient un œil sur un projet pour lequel ils doivent interagir, directement ou indirectement.

Cependant cette pratique a dépassé, et de très loin, ce cadre strict. Exemples :

  • Un salarié voulant donner une impression de zèle va mettre en copie plusieurs managers dans le cadre de missions ponctuelles qui ne les regardent pas
  • Un collaborateur se fera rabrouer sur une proposition par un manager rajoutant dans l’échange d’autres personnes influentes de l’entreprise dans un exercice pervers du pouvoir
  • Des collaborateurs à quelques mètres l’un de l’autre vont s’envoyer des emails de relances ou de demandes d’informations
  • Une messagerie d’entreprise va servir à un manager peu scrupuleux pour contacter les salariés pendant leurs jours de congés de manière répétée (ce constitue souvent une violation du Droit du travail, du Droit à la déconnexion, et du respect de la vie privée des salariés)
  • etc.

L’email a non seulement perdu en qualité (puisqu’il est souvent utilisé de manière inutile) mais il a également explosé en quantité. Ainsi, alors qu’un seul envoi long pouvant inclure la plupart des informations utiles était suffisant, c’est une masse grossissante de « micro-emails » (d’autant lorsque l’on considère l’idée reçue selon laquelle on long mail n’est pas lu) qui pollue littéralement les boites des collaborateurs, accueillis à leurs retours de congés par des centaines de courriels en attente dont la plupart n’ont, fondamentalement, pas d’utilité précise.

De surcroit, les risques de cyberharcèlement se font de plus en plus prégnants sur la base des échanges d’emails. Les personnes ne sont pas des écrivains professionnels, et beaucoup de propos écrits peuvent sembler plus agressifs ou refléter un sens différent que s’ils avaient été prononcés de vive voix. 

D’autres défauts de l’email : des problèmes de cybersécurité (encore)

L’une des stratégies les plus basiques pour infecter une entreprise consiste à envoyer des emails dits « de phishing ». En clair, un email d’escroquerie (ou autre) donnant à un destinataire l’impression d’être ce qu’il n’est pas en vue de lui faire effectuer une action. C’est ainsi que certains emails malveillants permutent un signe dans une adresse email légitime qui, regardée rapidement, est pratiquement impossible à détecter. A titre d’exemple : X@entreprise.com est l’adresse email originale et mais l’email de phishing sera envoyé via la fausse adresse X@entrepr1se.com. Ouvert par réflexe par un collaborateur noyé dans une masse d’emails et le mal est, statistiquement, rapidement fait.

Encore plus vicieux : un email transféré, d’apparence légitime, avec un hyperlien frauduleux. Je m’explique : un hyperlien faux peut facilement induire en erreur. Exemple : chien (cliquez dessus). Vous voyez que vous pouvez facilement vous trouver redirigé sur une page non désirée voire pire : sur un lien de téléchargement (et là, vous pourrez dire adieu à l’email et au RGPD par la même occasion). Le moyen de le détecter est de laisser son curseur au-dessus du lien sans cliquer puis de regarder en bas à gauche si le lien qui s’affiche correspond bien à la description.

Il est facile d’être vigilant lorsque l’on reçoit peu d’informations, d’autant lorsqu’elles sont qualitatives. Mais qui peut se targuer d’être systématiquement vigilant sur des dizaines de milliers d’actions répétées ? C’est la fameuse « Erreur 40 » (l’erreur humaine qui situe son visage à 40 cm en moyenne de son écran) : il suffit d’un mauvais « clic », un seul.

L’implosion non contrôlée des emails est donc l’un des risques majeurs en matière de cybersécurité, d’autant lorsque l’on réfléchit aux implications entre email et RGPD.

Mais alors que faire avec nos emails ? Email et RGPD : il fallait bien que l’on parle un peu du DPO (DPD = Délégué à la Protection des Données)

Le rôle fondamentalement transverse du DPO (qui n’est pas qu’un relecteur de contrats ou un compilateur de registres, ou alors c’est un mauvais DPO) peut faire des merveilles car contribuer à protéger et sécuriser les traitements de données personnelles des clients, des tiers mais également des collaborateurs fait partie de son travail.

Première solution : une politique de gestion des emails (une documentation à la disposition des collaborateurs, si possible adjointe de formations ou d’accompagnements mêlant email et RGPD) est quelque chose auquel on pense rarement. C’est pourtant, bien rentré dans les mœurs de l’entreprise (et non un « magma » de textes que personne ne lira) un moyen de :

– Limiter le nombre de mails échangés et les risques en matière de cybermalveillance

– Limiter les possibles harcèlements moraux qui peuvent se caractériser par des emails rudes, en quantité abusive, ou avec des copies jointes illégitimes,

– Limiter les diffusions non contrôlées de données personnelles professionnelles (qui sont aussi des données personnelles, il ne faut pas l’oublier : email et RGPD vont de pair)

– Améliorer le cadre de vie des collaborateurs, notamment du fait du stress des injonctions que chaque email implique par rapport à leur droit à la déconnexion

Seconde solution : il ne suffit pas d’écrire une politique, il faut que les managers la comprennent, notamment pour savoir réagir en cas d’échanges numériques non canalisés. Ils doivent pouvoir intervenir auprès de leurs équipes et dire : « attention : pourquoi as-tu mis Untel en copie ? Est-ce réellement justifié par l’échange ? » ou « Es-tu sûr qu’il n’y avait pas un moyen de compiler cette salve de mails adressés à la même personne en un seul envoi ? » ou enfin « As-tu vérifié si ton email respectait le formalisme du RGPD ? »

Troisième solution : plus psychologique voire sociologique, il faut former ses managers… au management :

  • Lutter contre la soif de certains managers de « tout contrôler » ou de demander à politiquement figurer dans chaque échange concernant un projet même lorsque leur expertise n’est pas requise
  • Lutter contre la tentation de rabrouer ses collaborateurs en incluant dans un échange individuel plusieurs copies-jointes illégitimes
  • Rassurer les équipes : ce n’est pas parce que l’on n’est pas sollicité par des copies-jointes sur leurs projets que l’on ignore leur travail. Ce dernier point est complexe puisque certains managers n’ayant pas fondamentalement les qualités humaines pour exercer cette fonction ne s’intéressent au travail de leurs collaborateurs qu’une fois interpellés par ces derniers
  • Créer de la confiance au sein des entreprises dans lesquelles, trop souvent, la méfiance et la politique mettent en danger l’intérêt général de cette dernière. Une entreprise efficace est une entreprise où les employés sont épanouis et développent leur potentiel sans crainte et non une entreprise où chacun est contrôlé, frustré et strictement limité dans ses actions

Email et RGPD, au service de la sécurité et du bien-être dans l’entreprise

Une fois que vous aurez mis ces solutions en place : vos employés seront plus efficaces, moins conflictuels, moins distraits par leurs mails et votre entreprise améliorera son niveau de sécurité informatique et de conformité au RGPD.

Votre DPO pourra (devra) vous y aider ! Du moins, c’est l’une des idées que l’on s’en fait chez Observantiae. C’est une personne que beaucoup d’entreprises doivent impérativement nommer (qu’il soit internalisé ou externalisé). Profitez-en pour exploiter à fond ses capacités : choisissez donc bien ses compétences qui doivent être autant juridiques et techniques que managériales et créatives.

Enfin, dernier avantage, et celui-ci inestimable : votre entreprise sera plus responsable sur le plan écologique (ce qui n’est pas rien, par les temps qui courent).

Email et RGPD, c’est donc un mariage heureux mais à formaliser.

Pierre LOIR

Initiateur, formateur et DPO externalisé chez Observantiae

Logo Observantiae pour l'article le mail et le DPO

Au plaisir d’entrer en contact avec vous (onglet contact)

Étiquettes :

Publié par observantiae

Je suis Délégué à la Protection des Données, consultant, formateur et fondateur du cabinet Observantiae. Issu d'un parcours juridique, je me suis passionné pour la protection des données personnelles et l’entrée en vigueur du Règlement Européen sur la Protection des Données (RGPD). Après avoir accompagné plusieurs sociétés sur la voie de la conformité RGPD au sein de différents cabinets de conseil, j’ai créé une structure de DPO externalisé axée sur la mutualisation des compétences, l’innovation et l’éthique dans le numérique.