Tribune : l’avènement de la « Responsabilité des Informations des Entreprises » ?

Ces défis et opportunités peuvent sensiblement augmenter les risques liés aux informations. Une étude (Iron Mountain et PricewaterhouseCoopers – « Au-delà des menaces cybernétiques : une étude sur la culture d’entreprise, la responsabilité des salariés et la sûreté des informations », mars 2012) menée en Europe par Iron Mountain et PwC révèle que de très nombreuses entreprises européennes ne sont malheureusement pas préparées à faire face à de tels risques.

Cette étude montre que moins de la moitié des entreprises de taille moyenne en France, Allemagne, Hongrie, Pays-Bas, Espagne et Royaume-Uni, considèrent que les risques liés aux informations, font partie de leurs trois premiers risques professionnels.

Il y a également une formidable incohérence quant à savoir qui doit gérer les risques liés aux informations. Seulement 13 % considèrent que les risques liés aux informations doivent être gérés par le Conseil d’Administration, tandis que plus d’un tiers (35 %) estiment que tous ces risques – qu’il s’agisse d’informations numériques ou papier – sont de la responsabilité des Systèmes d’Information (SI). À peine 1 % des répondants considèrent que les risques liés aux informations sont l’affaire de tous les salariés.

Une si écrasante preuve d’un tel manque de mesures internes capables de faire face de façon adéquate aux menaces externes devrait faire sonner le tocsin dans toute l’Europe. Nous pourrions perdre le contrôle des flots d’informations au moment où nous ne pourrions pas nous le permettre.

Ce ne sont pas de bonnes nouvelles au moment où la nouvelle législation européenne en matière de protection des données, annoncée en janvier dernier, prévoit de rajouter un fardeau supplémentaire pour toutes les entreprises, les obligeant à rendre des comptes. Le besoin d’une gestion des informations professionnelles au sein d’une entreprise n’a jamais été aussi grand.

La « Responsabilité Sociale des Entreprises » (RSE) s’est développée à partir d’une demande croissante : les entreprises doivent rendre compte de leurs valeurs, actions et impact, en matière d’environnement et de social. Nous pensons qu’il est temps pour les entreprises de rendre compte du traitement et de la gestion de leurs informations. Les entreprises de toutes tailles ont besoin de démontrer leur engagement formel de sauvegarder leurs actifs informationnels, y compris leurs données confidentielles relatives à leurs clients, salariés et activités. Nous appelons cet engagement la « Responsabilité des Informations des Entreprises » (RIE).

La RIE, c’est établir, dans toute l’entreprise, une culture du respect et de la protection des informations, en maximisant sa valeur et en minimisant les risques de pertes, de fuites ou de violation de données, ou encore, de non-conformité.