Comment limiter le risque juridique lié aux réseaux sociaux

La question des risques juridiques liés à la circulation d’information n’a rien de neuf. Et elle devient d’autant plus importante que l’entreprise se dote des moyens de faciliter le partage d’information et en accélérer la circulation.  Mais part quelques entreprises très concernées, souvent parce qu’elles opèrent dans des secteurs réglementés, qui ont travaillé à trouver le juste équilibre, c’est donc un chantier inachevé (et parfois même pas débuté) que l’on trouve la plupart du temps.

Et preuve qu’on commence à gagner en maturité ce ne sont pas moins de deux sessions qui ont été dédiées au sujet. L’occasion de faire un point sur les enjeux et les réponses à apporter, qu’elles soient technologiques ou non.

L’arrivée de la “collaboration sociale” dans l’entreprise pose en effet un certain nombre de questions. Comment protéger la propriété intellectuelle de l’entreprise, comment s’assurer que les nouveaux modèles collaboratifs ne sont pas contraires à certaines réglementations (notamment sur le partage et la diffusion de données réglementées), comment établir des règles d’utilisation des nouveaux outils et comment les faire respecter ou s’assurer que les salariés s’auto-responsabilisent….sont autant de questions que toute entreprise devrait se poser.

On traitera le sujet sous l’ange des pratiques internes notamment mais une grande partie des solutions proposées peut faire partie d’un tronc commun qui s’applique également aux usages externes.

Ces questions recouvrent principalement des sujets liés à la gouvernance, à la gestion des risques et à la “compliance” (ou conformité par rapport aux réglementations). Plus pratiquement il s’agit d’éviter les conflits d’intérêts, d’établir des “bonnes pratiques” d’usage de ces nouveaux médias, protéger l’information, préserver l’entreprise d’atteintes à sa réputation, de déterminer le “bon” niveau de données à conserver (par rapport aux coûts de stockage) et être en mesure d’identifier l’information digitale “dissimulée”.

La première étape, relativement simple et sur laquelle il existe déjà de la matière et des retours d’expérience est d’établir des “guidelines”.

La seconde est de déterminer les processus de modération. A priori/a posteriori. Automatiquement/Manuellement. Bien sur il n’existera pas un processus unique mais des processus adaptés en fonction du type d’information, de la population et de l’objectif d’une communauté, du sujet etc.. L’objectif de la modération est de protéger la marque, atténuer les risques légaux, et doit être vue comme un moyen et surtout pas comme un objectif.

Enfin, il importe d’aller au delà du texte pour identifier les risques. Le formatage peut en effet transformer un texte anodin en un véhicule de diffusion non autorisé de l’information. Ceci n’étant pas un sujet auquel on pense naturellement, une image vaut toutes les explications.

formattext
Un texte anodin qui peut passer de nombreux filtres alors que son formatage en change radicalement le sens.

Ces règles sont simples à suivre dans la mesure où elles ne requièrent pas d’outillage particulier mais de la méthodologie.

Ensuite il faut faire attention à ce qu’une solution donnée propose en natif et via des produits additionnels afin de déterminer si elle est capable de fournir le niveau de compliance et d’auditabilité nécessaire en fonction des réglementations qui s’appliquent aux activités de l’entreprise. Une étude que les entreprises ne font souvent qu’à posteriori ce qui peut s’avérer dommageable alors qu’à mon sens cela devrait faire l’objet d’une analyse a mener en amont de tout projet.

Pour le cas qui nous intéresse, nous avons passé en revu les dispositifs applicables à IBM Connections.

IBM Connections dispose déjà de fonctionnalités d’archivage intégrées qui “loguent” toutes les actions de la plateforme (event tracking). A cela s’ajoutent des choses plus élémentaires comme la possibilité de contrôler les accès (via l’annuaire d’entreprise) ou d’afficher des messages d’alerte ou avertissements légaux via la customisation de l’interface.

IBM propose également un autre produit pour aller plus loin. Appelé IBM Content Collector (ICC) il archive les données et permet d’identifier des contenus ou intéractions suspectes.

Pour aller encore plus loin (et c’est la solution qui a le plus retenu mon attention pour ce type de besoin, à même de rassurer totalement toute entreprise), est Vantage d’Actiance qui “log” bien sur tous les événements, permet l’eDiscovery mais, surtout, fait le tout en temps réel et est en mesure d’alerter le responsable compliance dès qu’un mot, une expression ou une interaction suspecte est détectée. Un autre point m’a également semblé pertinent dans le cadre de projets internationaux : tous les élements d’un profil utilisateur ne peuvent être affichés dans certains pays en raison des lois locales. Vantage permet de faire en sorte qu’en fonction de la localisation du lecteur ne s’affichent que des types de données auxquelles il a le droit d’accéder. Selon l’intervenant de cette session, une autre fonctionnalité va arriver dans une prochaine version, reprenant une fonctionnalité déjà présente dans la version de Vantage dédiée à Sametime. Il sera possible de faire en sorte que certains utilisateurs “régulés” de par leur métier, leur fonction etc. ne puissent être accessibles d’une partie de la population et ne puisse intéragir avec eux.

Une question très intéressante venue du public a clos cette intervention. Une personne se demandait si ce coté “big brother” n’était pas nuisible à l’adoption d’une plateforme sociale. De l’avis des spécialistes aucun impact n’a jamais été constaté. D’abord parce que toute manière sur une plateforme d’entreprise (contrairement aux réseaux grand public), on sait qu’on est toujours identifié. Ensuite parce que cette garantie de “compliance” et les possibilités d’auditabilité rassurent au contraire employés, managers et dirigeants quant à la sécurité des opérations que la plateforme pourra supporter et, dans une certaine mesure, renforcer la confiance pour des usages critiques.

D’ailleurs si vous avez un exemple de déploiement ou non déploiement de plateformes sociales en environnement réglementé je serai bien curieux d’apprendre comment cela a été fait et comment ces points ont été traités…