MONOLITH LAW OFFICE+81-3-6262-3248Jours ouvrables 10:00-18:00 JST[English Only]

MONOLITH LAW MAGAZINE

General Corporate

Expliquer les mesures de prévention des fuites d'informations: Quel est le contenu des règlements internes à mettre en place?

General Corporate

Expliquer les mesures de prévention des fuites d'informations: Quel est le contenu des règlements internes à mettre en place?

Une fuite d’informations peut potentiellement causer des dommages fatals aux activités d’une entreprise. Il est donc crucial de mettre en place des mesures préventives en interne.

Plus précisément, il serait envisageable de mettre en place des règlements internes et de les appliquer de manière appropriée. Mais alors, quels types de règlements internes devriez-vous établir ? Dans cet article, nous expliquerons comment mettre en place des règlements internes pour réduire le risque de fuite d’informations, à l’intention des responsables juridiques des entreprises.

Qu’est-ce que le règlement interne concernant les fuites d’informations ?

Les fuites d’informations peuvent survenir à tout moment, et il est impossible de prévoir quand et comment elles se produiront. Par conséquent, il est essentiel de préparer un règlement interne solide à l’avance pour se prémunir contre les fuites d’informations.

De plus, même en cas de fuite d’informations, en agissant conformément au règlement interne préétabli, il est possible de minimiser les dommages causés par la fuite d’informations.

Établir une politique de base

Règlement interne sur les fuites d'informations : Établir une politique de base

Tout d’abord, il est envisageable pour une entreprise d’établir une politique de base concernant les fuites d’informations afin de clarifier la manière dont elle y réagira.

La politique de base pourrait inclure des dispositions telles que :

  • Le contenu relatif à la responsabilité de l’entreprise et des dirigeants
  • Le contenu relatif au respect des lois et règlements
  • Le contenu relatif à la mise en place de mécanismes internes
  • Le contenu relatif à la gestion de l’information
  • Le contenu relatif aux initiatives envers les employés
  • Le contenu relatif à la réaction en cas de fuite d’informations
  • Le contenu relatif à la révision régulière de la politique de base

En plus de son aspect de règlement interne, la politique de base peut également être utilisée de manière similaire à une politique de confidentialité, en rendant la politique de base publique. En rendant la politique de base publique, l’entreprise peut démontrer son engagement envers la prévention des fuites d’informations, ce qui peut contribuer à améliorer sa crédibilité sociale.

Cependant, il va sans dire que l’établissement d’une politique de base n’a pas de sens en soi. Il est nécessaire d’établir une politique de base qui correspond à la réalité de l’entreprise, et il est également important de gérer l’entreprise conformément à la politique de base établie.

Article connexe : Quels sont les points à vérifier lors de la création d’une politique de confidentialité en tenant compte de la loi japonaise sur la protection des informations personnelles ?[ja]

Règles relatives à la protection de l’information

Il est envisageable d’établir des règles concernant la protection de l’information dans le cadre du règlement interne de l’entreprise.

Concernant la protection de l’information, on peut envisager d’établir des règles telles que celles énumérées ci-dessous.

Analyse des risques de fuite d’information

Si une analyse des risques de fuite d’information n’est pas suffisamment effectuée, il est impossible de prendre des mesures appropriées en fonction des risques. Par conséquent, il est important de définir dans le règlement interne de l’entreprise des règles concernant l’analyse des risques de fuite d’information.

Compréhension et mise en base de données des informations détenues par l’entreprise

Si l’entreprise ne comprend pas bien les informations qu’elle détient, il devient difficile de les gérer de manière adéquate. De plus, en mettant en base de données les informations détenues par l’entreprise, il est possible de gérer correctement ces informations.

Définition des responsables du traitement de l’information

En définissant dans le règlement interne de l’entreprise les responsables du traitement des informations détenues par l’entreprise, il est possible de limiter au minimum l’étendue de l’utilisation des informations et de réduire le risque de fuite d’information.

Définition des procédures de divulgation et de fourniture de l’information

En définissant clairement dans le règlement interne de l’entreprise les procédures relatives à la divulgation et à la fourniture des informations détenues par l’entreprise, on s’assure que ces procédures sont respectées. Par conséquent, il est possible d’éviter que les employés utilisent les informations de l’entreprise sur la base de leur seul jugement, ce qui peut contribuer à prévenir les fuites d’information.

Limitation de l’emport de l’information à l’extérieur

En définissant dans le règlement interne de l’entreprise les règles concernant l’emport de l’information à l’extérieur, il est possible de prévenir les situations où l’information est inutilement emportée à l’extérieur, ce qui peut avoir un certain effet sur la prévention des fuites d’information.

Définition des règles d’audit du système de protection de l’information

Même si l’entreprise a mis en place un système de protection de l’information, cela n’a pas de sens si ce système n’est pas utilisé conformément aux règles.

Par conséquent, il est envisageable de définir dans le règlement interne de l’entreprise que des entités indépendantes des entités auditées effectueront des audits sur le système de protection de l’information.

Règlement concernant la gestion des ressources humaines

Règlement interne concernant les fuites d'informations : Règlement concernant la gestion des ressources humaines

Les fuites d’informations peuvent parfois être causées par des erreurs humaines. Par conséquent, il peut être envisagé d’établir des règles concernant les personnes qui manipulent les informations dans le règlement interne de l’entreprise.

Il est également possible de définir ces règles de gestion des ressources humaines dans le règlement du travail ou dans le règlement de gestion des informations confidentielles.

Par exemple, les éléments suivants peuvent être définis :

Devoir de confidentialité des informations

Dans le règlement interne, il peut être envisagé de définir les obligations de confidentialité des informations pour les employés. En définissant l’obligation de confidentialité des informations, il est possible d’imposer cette obligation aux employés en tant qu’obligation contractuelle.

De plus, il est possible de sensibiliser les employés à l’obligation de confidentialité des informations.

Interdiction d’utiliser les informations à des fins autres que celles prévues

Le devoir de confidentialité des informations implique principalement de ne pas divulguer les informations. Cependant, en plus de cela, il peut être efficace de définir l’interdiction d’utiliser les informations à des fins autres que celles prévues pour prévenir les fuites d’informations.

Engagement de confidentialité au moment de l’embauche

Il est également possible de demander aux employés de soumettre une déclaration de confidentialité incluant l’obligation de confidentialité et l’interdiction d’utiliser les informations à des fins autres que celles prévues au moment de leur embauche.

La déclaration de confidentialité au moment de l’embauche a pour but non seulement d’imposer une responsabilité contractuelle, mais aussi de sensibiliser les employés à la prévention des fuites d’informations.

Engagement de confidentialité au moment du départ

Il est bien sûr nécessaire de veiller à ce que les employés ne divulguent pas d’informations pendant leur emploi, mais il est également nécessaire de veiller à ce qu’ils ne divulguent pas d’informations après leur départ.

Par conséquent, il peut être envisagé de demander aux employés de soumettre une déclaration de confidentialité au moment de leur départ, stipulant qu’ils ne divulgueront pas les informations qu’ils ont apprises pendant leur emploi après leur départ. C’est parce que le règlement interne n’a en principe d’effet que sur les employés, et n’a pas d’effet après leur départ.

Formation des employés sur les fuites d’informations

En obtenant une déclaration de confidentialité des employés, il est possible de sensibiliser dans une certaine mesure à la prévention des fuites d’informations. Cependant, une simple déclaration de confidentialité n’est pas toujours suffisante pour faire comprendre aux employés l’importance de ne pas causer de fuites d’informations.

Par conséquent, il peut être utile de prévoir dans le règlement interne de l’entreprise de dispenser une formation aux employés sur la prévention des fuites d’informations, par exemple en organisant des formations internes à intervalles réguliers.

Règlement sur la gestion physique

Règlement interne sur les fuites d'informations : Règlement sur la gestion physique

Pour prévenir les fuites d’informations, il est nécessaire de créer un environnement où les informations sont difficilement divulguées physiquement.

Par exemple, dans le règlement interne, on peut envisager de stipuler des dispositions telles que les suivantes en ce qui concerne la gestion de l’information :

Gestion des entrées et sorties de la salle de stockage des informations

Il est envisageable de définir clairement les zones de sécurité en fonction des informations traitées au sein de l’entreprise, et de réduire l’accès physique aux informations en gérant les entrées et sorties de chaque zone, ainsi que le verrouillage.

En réduisant l’accès physique aux informations, on peut espérer réduire le risque de fuite d’informations.

Accès au serveur

Si les informations sont stockées sur un serveur, il peut être envisagé de limiter les droits d’accès au serveur dans le règlement interne.

Si tous les employés peuvent facilement accéder aux informations, le risque de fuite d’informations augmente en conséquence. Par conséquent, il est efficace de limiter l’accès au serveur de stockage des informations pour prévenir les fuites d’informations.

Gestion des documents et autres supports

Il est également important de définir concrètement dans le règlement interne la manière de traiter et de stocker les informations lorsqu’elles sont effectivement manipulées.

Par exemple, si les informations sont sur papier, on peut envisager de les stocker dans un placard verrouillable, ou de stipuler qu’une salle est réservée à la consultation des informations et que les informations ne peuvent pas être emportées dans d’autres pièces.

Règlement sur l’utilisation des équipements informatiques

Récemment, en raison du développement d’Internet et de l’augmentation de la mise en œuvre du travail à distance, les occasions d’échanger des informations en utilisant des équipements informatiques se sont multipliées.

Par conséquent, il est envisageable de définir le contenu suivant dans le règlement interne concernant l’utilisation des équipements informatiques.

Procédure pour recevoir des équipements informatiques de l’entreprise

Tout d’abord, lorsqu’on reçoit un prêt d’équipements informatiques tels que des ordinateurs de l’entreprise, il est important de gérer qui a reçu le prêt et quand.

De plus, il est également important de comprendre l’utilisation de l’équipement informatique à intervalles réguliers pour vérifier que ceux qui ont reçu l’équipement informatique de l’entreprise ne l’utilisent pas dans un environnement où les fuites d’informations sont susceptibles de se produire.

Procédure d’utilisation des appareils personnels (BYOD)

Avec l’augmentation du travail à domicile, le nombre de cas où les employés utilisent leurs appareils informatiques personnels pour le travail a également augmenté. Dans le cas où des PC ou des clés USB sont des biens personnels des employés, il est possible qu’il n’y ait pas nécessairement de mesures de sécurité adéquates.

De plus, comme il s’agit de l’appareil informatique qu’ils utilisent habituellement, les employés peuvent perdre le sens de la crise qu’ils gèrent des informations liées au travail, et la gestion peut devenir insuffisante.

Par conséquent, dans le règlement interne, il est envisageable que l’entreprise définisse les procédures et les interdictions pour l’utilisation des appareils personnels (BYOD) lorsqu’elle autorise les employés à utiliser leurs appareils personnels (BYOD).

Règlements concernant les autres fuites d’informations

En plus de cela, il est envisageable de définir les points suivants dans les règlements internes concernant les fuites d’informations.

Règlements concernant l’utilisation personnelle des réseaux sociaux

Il existe des réseaux sociaux qui sont utilisés sous le vrai nom et ceux qui sont utilisés de manière anonyme. Dans le cas de l’anonymat, il est possible que l’on poste facilement sur les réseaux sociaux en raison de cet anonymat. De plus, si vous postez avec l’idée que cela ne touchera pas beaucoup de gens et que cela prend de l’ampleur, il peut y avoir des cas où cela finit par être vu par beaucoup de gens.

Les réseaux sociaux ont un pouvoir de diffusion, donc si une fuite d’information se produit, il y a un risque qu’elle se propage instantanément.

Par conséquent, il est envisageable de définir le contenu concernant l’utilisation des réseaux sociaux par les employés dans les règlements internes.

Par exemple, vous pouvez diviser l’objectif d’utilisation des réseaux sociaux en “objectif professionnel” et “objectif non professionnel (privé)”, et dans le cas d’un objectif professionnel, vous pouvez exiger une demande/approbation et un rapport en cas de prise d’ampleur. Même pour des objectifs non professionnels, il est envisageable d’interdire l’écriture d’informations confidentielles de l’entreprise ou de choses qui enfreignent la loi, et d’exiger un rapport en cas de possibilité de fuite d’information ou de prise d’ampleur.

Les mesures contre les fuites d’informations sont prises par l’ensemble du groupe d’entreprises

Dans le cas d’une grande entreprise, il peut y avoir plusieurs sociétés du groupe. Il est possible qu’il y ait un échange d’informations confidentielles entre les sociétés du groupe, mais toutes les sociétés du groupe n’ont pas nécessairement le même niveau de sécurité.

Par conséquent, par exemple, certaines personnes peuvent envisager d’accéder illégalement à une filiale dont la sécurité est plus faible que celle de la société mère et d’obtenir illégalement des informations.

Pour faire face à une telle situation, il est important que les sociétés du groupe ne prennent pas des mesures contre les fuites d’informations de manière dispersée, mais qu’elles prennent des mesures contre les fuites d’informations en tant que groupe.

Conclusion : Consultez un avocat pour les règlements internes concernant les fuites d’informations

Nous avons expliqué ci-dessus, à l’intention des responsables juridiques des entreprises, comment mettre en place des règlements internes pour réduire le risque de fuites d’informations. Pour prévenir les fuites d’informations, il est important de mettre en œuvre des mesures sous divers angles.

Il est nécessaire d’examiner attentivement les règlements internes concernant ces mesures, en intégrant une perspective spécialisée. Nous vous recommandons de consulter un avocat possédant des connaissances spécialisées lors de l’élaboration de vos règlements internes.

Article connexe : Le risque de fuite d’informations personnelles dans les entreprises et la compensation des dommages[ja]

Présentation des mesures prises par notre cabinet

Le cabinet d’avocats Monolis est un cabinet d’avocats spécialisé dans l’IT, et plus particulièrement dans l’Internet et le droit. Une expertise spécialisée est indispensable pour l’élaboration des règlements internes. Notre cabinet travaille sur diverses affaires, allant des entreprises cotées à la bourse de Tokyo aux startups. Si vous rencontrez des difficultés avec vos règlements internes, veuillez consulter l’article ci-dessous.

https://monolith.law/contractcreation[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Retourner En Haut