Charles-Henry Rheinart (CCI de l'Essonne) : "Il est important de procéder à une classification de l'information stratégique"

Défense contre les risques de fuites, protection de la propriété industrielle, sensibilisation des collaborateurs aux enjeux... engager son entreprise dans une démarche efficace de sécurité économique implique de lancer bien des chantiers et parfois même d'initier une vraie révolution culturelle. Mais plus qu'une somme d'outils ou de dispositifs, il s'agit surtout d'une nouvelle approche managériale, rendue urgente par la puissance des réseaux d'information et l'hyper-concurrence. Charles-Henry Rheinart, chef du service Innovation et intelligence économique de la Chambre de commerce et d'industrie de l'Essonne, présente les pistes à suivre.

Contre quels risques les entreprises doivent-elles se protéger ?

Charles-Henry Rheinart. Les risques sont multiples et il serait impossible d'en dresser une liste exhaustive. Nous réfléchissons plutôt en termes de vulnérabilités, c'est-à-dire en identifiant les points faibles de l'entreprise, qui seront demain sources de risques.

Les fuites d'information stratégique et la perte de savoir-faire au bénéfice de la concurrence sont le plus souvent dues à des erreurs commises par les collaborateurs, ou au non respect de certaines procédures ou de réflexes élémentaires. On peut donc dire que les salariés sont la principale vulnérabilité de l'entreprise en matière de sécurité économique. En revanche, s'ils sont correctement sensibilisés aux enjeux, c'est 80 % du travail de sécurisation qui est fait.

Comment implique-t-on ses collaborateurs dans une démarche de sécurité économique ?

Avant toute chose, il est important de procéder à une classification de l'information stratégique qui circule dans l'entreprise. Nous la divisons généralement en deux catégories : l'information sensible et l'information critique. On procède ensuite à une cartographie de l'information stratégique, afin de déterminer précisément comment cette information circule entre les personnes et les services. Une fois ce travail fait, on peut alors identifier quelles personnes manipulent quelles données et sensibiliser, de façon personnalisée, les collaborateurs concernés. Alarmer tous les salariés et créer une atmosphère de paranoïa serait contre-productif.

Comme cette cartographie de l'information évolue, il est dès lors pertinent de procéder régulièrement, par exemple une fois par an, à des revues individualisées des contrats de travail. On peut ajouter des avenants qui préciseront le droit d'accès à l'information et le degré de confidentialité auquel est tenu le salarié, en fonction de ses nouvelles fonctions et de la nature des données qu'il manipule. C'est autant une mesure de précaution pour l'entreprise qu'une démarche de sensibilisation et d'implication des collaborateurs dans la politique de sécurité économique.

Certaines personnes qui travaillent dans l'entreprise n'ont pas de contrat de travail, les prestataires, par exemple ou les stagiaires. Comment les intégrer dans cette démarche ?

Il est tout à fait possible et même recommandé de faire signer, à son prestataire informatique par exemple, des clauses de confidentialité lorsqu'on lui confie des bases de données ou des fichiers sensibles.

Concernant les stagiaires, force est de constater que leur gestion demeure un point noir dans beaucoup de PME. On considère trop souvent qu'une convention de stage suffit, alors qu'un contrat est nécessaire, particulièrement lorsque le stagiaire manipule des données stratégiques. Un contrat permet de limiter l'accès du stagiaire à certaines sources d'information et de prévoir des clauses de confidentialité. De même, trop de dirigeants de PME négligent la relecture des rapports de stage et ne pensent pas à censurer les données sensibles qui y figurent. Je connais un dirigeant de PME qui a retrouvé, en tapant le nom de sa société sur Google, le rapport d'un ancien stagiaire qu'il n'avait jamais relu. Il fut estomaqué d'y découvrir une mine de données très sensibles sur son activité.

Au-delà des imprudences des salariés, la concurrence peut également essayer de dérober de l'information. Comment y faire face ?

La protection des savoir-faire, c'est-à-dire de la propriété intellectuelle, doit être une priorité de la politique de sécurité économique. Cette question ne se pose pas qu'au moment du dépôt d'un brevet ou d'un modèle, mais à chaque fois qu'un accord est passé avec un partenaire - fournisseur ou client. Et en la matière, les pratiques contractuelles des PME laissent souvent à désirer. De nombreux devis ne contiennent aucune clause concernant la propriété intellectuelle de l'entreprise et les contrats sont souvent très imprécis sur la question. Beaucoup de PME sont en effet très réticentes à faire relire les contrats par des cabinets de conseil juridique, car elles sont persuadées que cela leur coûtera très cher. En réalité, lorsque l'on ne prend pas cette précaution, on peut perdre beaucoup plus d'argent.

Concernant le dépôt des brevets, nous recommandons de passer systématiquement par des pré-diagnostics industriels pour évaluer l'opportunité de la démarche. Ils sont gratuits pour les PME, sur demande auprès de la Chambre de commerce et d'industrie (CCI).

La propriété industrielle n'est pas le seul "bien" que l'entreprise peut se voir dérober...

Toute information stratégique doit en effet être protégée. Outre les précautions prises au quotidien par les collaborateurs, certaines dispositions doivent être clairement formalisées par le management, comme par exemple le tri des ordures. Une poignée d'étudiants de l'INT d'Evry ont fait une opération "poubelles" sur le site d'une entreprise industrielle de la région. En une seule soirée, ils ont pu obtenir les marges commerciales brutes et nettes des deux derniers exercices, les noms et coordonnées des meilleurs commerciaux de l'année ainsi que la liste des impayés, avec les montants et noms des sociétés… Autant d'informations précieuses et financièrement valorisables, pour un concurrent ou un chasseur de têtes.

Nous le martelons à toutes les entreprises : il n'est pas superflu de s'acheter une broyeuse à papier - croisé et non pas linéaire - pour quelques dizaines d'euros, d'organiser le tri des documents que l'on jette, de ne pas faire travailler les sociétés de nettoyage lorsqu'il n'y a plus personne dans la société... et de demander au gardien de ramasser tous les documents confidentiels trouvés le soir sur les bureaux, pour les remettre au directeur.

Selon l'activité de l'entreprise, il faut identifier les zones à risques : entrée des livreurs ou coursiers dans les usines, déplacement fréquents des collaborateurs à l'étranger avec leurs PC… et établir des règles et procédures de sécurité à respecter.

Qui peut aider les PME dans ces démarches de sécurité économiques ?

Les CCI sont le premier point de contact. Notre rôle est d'informer les entreprises sur les risques existants, trop souvent sous-estimés, d'effectuer des diagnostics, d'accompagner les démarches d'amélioration et également de leur apporter un soutien en cas de difficultés. C'est un prolongement naturel de notre rôle de soutien aux entreprises dans le domaine de l'innovation et du développement à l'international. Nous contribuons aussi à mutualiser certains efforts entre les PME de la région, comme par exemple la veille stratégique qui exige des sources d'information parfois onéreuses et des techniciens qualifiés.

Nos capacités sont toutefois limitées et, dans un second temps, il peut être nécessaire de s'adresser au privé : cabinets d'avocats, consultants spécialisés… Là encore, nous accompagnons les PME dans l'identification des prestataires en fonction de leurs besoins et de nos références.

Certains services de l'Etat peuvent également être sollicités, comme par exemple la Gendarmerie ou les Renseignements Généraux. Cela peut paraître un peu exotique, mais ces derniers offrent un appui précieux. Avant de choisir un cabinet de conseil en propriété industrielle ou en fusions-acquisitions, demandez aux RG un simple avis. Ces prestataires peuvent avoir été l'objet de pression et de manipulation de la part de la concurrence. Si vous recevez une délégation étrangère pour visiter vos locaux, demandez si, parmi vos invités, l'un d'entre eux n'est pas connu de leurs services et soupçonné d'espionnage industriel… Et suivez scrupuleusement leurs recommandations s'ils vous invitent à vous méfier.