Guide de Conduite éthique des Affaires Guide de bonnes pratiques en matière de gestion de l information

Transcription

1 Guide de Conduite éthique des Affaires Guide de bonnes pratiques en matière de gestion de l information

2 Sommaire Préface...3 Diffuser et protéger l information... 5 La classification Thales... 7 S informer et collecter l information...9 Boîte à outils...12 Le cadre juridique En France Aux Etats-Unis En Allemagne Au Royaume-Uni Aux Pays-Bas En Italie Les bonnes pratiques ALLER PLUS LOIN...17 CONTACT...19 Thales - Guide de bonnes pratiques en matière de gestion de l information

3 3 Préface «De multiples réglementations et procédures internes encadrent l information que le Groupe est conduit à traiter. Toutefois, au-delà des process et des outils, la gestion de l information est d abord affaire de comportements responsables de la part de chacun des collaborateurs de Thales : la maîtrise et le traitement de l information sont en effet au cœur des métiers et de la performance du Groupe. L objet de ce Guide de Conduite est ainsi de rappeler quelques règles simples mais surtout d inviter à une réflexion sur les enjeux éthiques liés à une gestion responsable de l information.» Dominique Lamoureux, Directeur Ethique et Responsabilité d Entreprise Le présent guide a été conçu par la Direction Ethique et Responsabilité d Entreprise en collaboration avec les Directions Communication, Intelligence Economique, Ressources Humaines, Sûreté et Systèmes d Information du Groupe. Réf. CHORUS GOV-GRP-FR-01 création octobre 2013

4 Si la maîtrise de l information est au cœur des métiers de Thales, la gestion de cette même information est un enjeu stratégique pour le Groupe. Dans un environnement de plus en plus mobile, interconnecté et interdépendant, elle contribue à la qualité des prises de décisions et aux succès de l entreprise. Afin d optimiser ses choix et de réaliser ses objectifs, chaque collaborateur a besoin, pour agir, d une information transparente, complète et hiérarchisée qui, in fine, participe à l élaboration d une véritable intelligence collective, levier essentiel de la pérennité et du développement de Thales. Dans le cadre de ses activités, chacun des collaborateurs du Groupe est en permanence conduit à gérer de l information, omniprésente dans son environnement de travail, quel qu en soit le support : matériel (document papier, CD-ROM, clé USB ) ou immatériel (lorsque l information est échangée, traitée et stockée par un système électronique). Le but du présent guide est d accompagner chaque collaborateur dans sa gestion de l information pour que celle-ci s opère dans le respect des exigences légales et éthiques auxquelles le Groupe se conforme. Sans fixer de règles de conduite à suivre en toutes circonstances, il a vocation à être utilisé par chaque personne amenée à gérer de l information. Thales - Guide de bonnes pratiques en matière de gestion de l information

5 5 Diffuser et protéger Un collaborateur ne possède souvent qu une connaissance partielle de l information, limitée à son environnement de travail immédiat et/ou aux domaines spécifiquement couverts par son activité. Or, si l information en sa possession a une valeur intrinsèque, c est surtout par son échange et sa transmission que cette valeur se développe. Mises en commun, ces informations aident à la prise de décision. De ce fait, elles contribuent à la création d une véritable intelligence collective, levier essentiel de la pérennité et du développement de Thales. Le partage de l information, en cohérence avec les principes du Code d Ethique, s inscrit ainsi dans une démarche collaborative où les savoirs de chacun sont valorisés au profit de la connaissance du Groupe. Il est cependant indispensable de savoir diffuser l information avec discernement, notamment en sachant évaluer son degré de sensibilité. Réf. CHORUS GOV-GRP-FR-01 création octobre 2013

6 et protéger 6Diffuser Les informations classifiées en France Du fait des activités de Thales sur des marchés critiques comme la défense et la sécurité, certains collaborateurs habilités traitent des informations «classifiées» (au sens des articles R et R du Code de la défense). Il s agit d informations de nature politique, militaire, diplomatique, scientifique, économique ou encore industrielle, dont la divulgation représente un risque majeur d atteinte à la défense et à la sécurité nationale (1). De par leur caractère extrêmement sensible, ces informations bénéficient d un niveau de protection juridique et matérielle très élevé, depuis leur élaboration jusqu à leur destruction. Leur accès et leur diffusion sont strictement restreints pour des raisons de sécurité Toute atteinte à leur protection est sévèrement sanctionnée selon les dispositions des articles et du Code pénal. le traitement des informations classifiées peut être soumis à des réglementations différentes selon les pays. Pour les connaître, chaque collaborateur est invité à se renseigner auprès de son Responsable Sûreté Pays / Unité et à s y conformer. En dehors des informations soumises à réglementation, certaines informations représentent des atouts concurrentiels pour Thales, qu elles soient à usage interne (ex. plan stratégique), en rapport avec la propriété industrielle du Groupe (ex. brevets, savoirfaire, licences etc.) ou encore des secrets d affaires. Au même titre que les actifs corporels «classiques», ces informations sont la propriété de Thales et contribuent à l accroissement du patrimoine immatériel du Groupe. Elles doivent donc être protégées. (1) Instruction générale interministérielle sur la protection du secret de la défense nationale : Référence Légifrance JORFTEXT Thales - Guide de bonnes pratiques en matière de gestion de l information

7 7 La classification Thales Dans le cadre de ses fonctions, chaque collaborateur est conduit à diffuser de l information, aussi bien en interne qu en externe. Afin d en mesurer le niveau de protection adéquat, Thales a défini la politique générale de protection des informations internes au Groupe dans une instruction mise à disposition de tous sur Chorus 2.0. Applicable à toutes les informations internes au Groupe quel qu en soit le support (courriels, mémos, comptes rendus de réunion, notes d équipe, CD Rom, clé USB, etc.), elle les classifie en quatre niveaux, en fonction de leur sensibilité : Diffuser et protéger Open Information non sensible, libre d accès interne ou externe Groupe. Thales Group Internal Information non sensible et non publique, ne devant être diffusée qu aux personnes ayant le besoin d en connaître. Cette information, dont la diffusion est essentiellement destinée à l usage interne, peut également être diffusée en dehors du Groupe à toute personne ayant besoin de cette information dans le cadre de ses relations avec le Groupe. Thales Group Confidential Information sensible dont la divulgation non contrôlée est de nature à compromettre de façon significative le déroulement normal d un projet, causer un préjudice significatif pour le Groupe. Cette information n est communicable qu aux personnes ayant le besoin d en connaître dans le cadre de leurs activités, selon les principes évoqués ci-dessus. Thales Group Secret Information dont le caractère sensible est tel que son éventuelle divulgation peut compromettre la réussite d un projet vital et/ou porter un grave préjudice au Groupe (en terme financier, d image, de stratégie, de techno logie, etc.). Cette information n est communicable qu aux personnes formellement autorisées par l auteur. Réf. CHORUS GOV-GRP-FR-01 création octobre 2013

8 8 Diffuser et protéger Pour en savoir plus : Instruction «Protection des Informations Groupe», Référence Chorus GOV-GRP Si, dans certains cas, cette typologie se révèle insuffisante, il appartient alors au collaborateur d analyser le degré de sensibilité de l information qu il détient et d agir en conséquence : en fonction de la nature du document, et/ou du besoin d en connaître de son destinataire. Certaines informations en apparence «anodines» peuvent en effet avoir une importance stratégique une fois exploitées dans un autre contexte ou reliées à d autres données. Dans tous les cas, le détenteur d une information est responsable de sa protection et de sa diffusion, aussi bien en interne qu en externe. A ce titre, une vigilance particulière est à observer quant aux informations mises en ligne sur les réseaux sociaux. Bien qu a priori isolées du contexte professionnel, ces informations peuvent s avérer préjudiciables pour le collaborateur, ceux qui l entourent ainsi que pour le Groupe. Chaque collaborateur est donc invité à ne pas divulguer d informations en lien avec les activités de Thales sur l un de ces réseaux. En cas de doute : demander conseil à son Responsable hiérarchique ou, suivant la teneur de l information, à la Direction compétente (Sûreté, Juridique, Communication ) de son Unité. Thales - Guide de bonnes pratiques en matière de gestion de l information

9 9 L acquisition d informations est inhérente aux activités du Groupe et il est indispensable qu elle s effectue dans le respect du cadre légal et des règles de bonne conduite auxquelles Thales se conforme. L information peut être obtenue par des canaux légaux tels que les outils de veille, la prise de notes, les plaquettes, les rencontres lors de salons, les conférences, les sites internet, les bases de données gratuites ou payantes, etc. S informer et collecter l information L intelligence économique Elle a pour objectif l anticipation et l aide à la décision, en regroupant les activités de collecte, d analyse, de diffusion et de protection de l information stratégique. Au sein de Thales, l intelligence économique occupe une place clé : elle permet une meilleure compréhension des marchés et des attentes de ses clients, ainsi qu une connaissance approfondie de la concurrence et des enjeux économiques auxquels le Groupe est confronté. Au cœur de la compétitivité de l entreprise, l intelligence économique aide Thales à mieux maîtriser son environnement. Réf. CHORUS GOV-GRP-FR-01 création octobre 2013

10 10 S informer et collecter l information En revanche, Thales n admet aucune tolérance au regard d actions visant à acquérir frauduleusement de l information, telles que le vol ou le piratage. Ces actes engagent formellement la responsabilité de Thales. Ils sont strictement sanctionnés dans les pays où le Groupe opère. De surcroît, ils nuiraient gravement à l image du Groupe. Les pirates informatiques sont des personnes qui contournent les protections d un logiciel, d un ordinateur ou d un réseau informatique à des fins malveillantes, par exemple le vol d informations confidentielles. En plus d être formellement interdit par les législations des pays dans lesquels Thales opère, le piratage informatique est en totale contradiction avec les principes éthiques défendus par le Groupe. Thales n applique aucune tolérance vis-à-vis de toute initiative visant à collecter de l information par ce biais. Dans l hypothèse où un collaborateur entrerait en possession d information de manière fortuite (par exemple : dossier d appel d offres oublié dans un train ou un avion, conversation informelle entre concurrents, documents ajoutés accidentellement dans les affaires d un collaborateur etc.), celui-ci est invité à : Ne pas utiliser ces informations. Dans la mesure du possible, les restituer à leur propriétaire légitime. Sinon, les détruire. Porter l incident à la connaissance de son Responsable hiérarchique ainsi qu à son Responsable Sûreté. Thales - Guide de bonnes pratiques en matière de gestion de l information

11 11 Les Global Principles of Business Ethics for the Aerospace and Defence Industry Nés d un accord signé en 2009 par les associations des industries aéronautique et de défense européennes (ASD) et américaines (AIA), ces principes définissent des codes de conduite en matière d éthique du commerce auxquels les entreprises du secteur ont adhéré. L un des principes porte sur le respect de la confidentialité de l information. Il est stipulé qu une entreprise ne doit ni solliciter, ni accepter d informations confidentielles concernant un tiers. De même, en cas de réception d informations confidentielles sur un tiers, transmises sans son autorisation, l entreprise doit cesser immédiatement la diffusion et l examen de ces informations, les détruire ou les renvoyer immédiatement en informant le tiers concerné de cet incident et de la conduite adoptée. S informer et collecter l information En tant qu initiateur des Global Principles, Thales s est engagé à adopter une démarche responsable en les mettant en œuvre, et à respecter ainsi la confidentialité des informations, Thales compte sur chacun de ses collaborateurs pour que cet engagement soit respecté. En cas de doute, il est essentiel de demander conseil à son Responsable hiérarchique ou, suivant la teneur de l information, à la Direction compétente (Sûreté, Juridique, Communication ) de son Unité. Réf. CHORUS GOV-GRP-FR-01 création octobre 2013

12 12 Le cadre juridique Les règles françaises Boîte à Outils En France, la protection de l information n est pas assurée par une loi spécifique mais fondée sur un ensemble de régimes juridiques différents (responsabilité civile, responsabilité pénale ou encore concurrence déloyale). Le vol est incriminé par les articles et suivants du Code pénal. Son auteur encourt jusqu à 3 ans d emprisonnement et d amende. L information, en particulier, peut être assimilée à une chose volée lorsque c est son support qui a été soustrait ou copié frauduleusement. De même, le piratage est interdit par les articles et suivants du Code pénal. L article punit ainsi «le fait, sans motif légitime, d importer, de détenir, d offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre [un acte de piratage].» Thales - Guide de bonnes pratiques en matière de gestion de l information

13 13 Les règles américaines Aux Etats-Unis, le vol des secrets commerciaux est une infraction pénale fédérale, incriminée par les paragraphes 1832 et suivants du Titre 18 du US Code. L auteur encourt une amende et jusqu à 10 ans de prison si c est une personne physique, jusqu à $ d amende si c est une personne morale. Par ailleurs, le Economic Espionage Act ou Cohen Act (1996), récemment complété par le Theft of Trade Secrets Clarification Act (2012) viennent étendre le champ d interprétation du secret des affaires. Les règles allemandes Les informations confidentielles des entreprises bénéficient en Allemagne d une importante protection depuis le German Unfair Competition Act de La divulgation et le vol des secrets commerciaux ou industriels, et des documents ou des instructions de nature technique, sont pénalisés par le Chapitre 4. Ces dispositions sont aussi le fondement d une responsabilité civile de l auteur. Les règles britanniques Il n existe pas de loi spécifique à la protection de l information, si ce n est les règles d équité et plus particulièrement le principe de «rupture de confiance» qui sanctionne l obtention frauduleuse d informations confidentielles et engage la responsabilité civile voire pénale de son auteur. Boîte à Outils Réf. CHORUS GOV-GRP-FR-01 création octobre 2013

14 14 Les règles néerlandaises Aux Pays-Bas, la protection des informations confidentielles et du secret des affaires est assurée par les articles 272 et 273 du Code pénal. Ces textes viennent sanctionner les actes visant à acquérir frauduleusement de l information. Leur auteur encourt de 6 à 12 mois de prison ainsi qu une amende pouvant atteindre Par ailleurs, bien qu il n existe pas de loi spécifique sur le plan civil, la jurisprudence a étendu le droit commun de la responsabilité à l atteinte au secret des affaires. Enfin, des dommages et intérêts ainsi qu une ordonnance portant interdiction d usage afin de faire cesser le préjudice peuvent être obtenus sur le fondement de la concurrence déloyale. Les règles italiennes Boîte à Outils En Italie, il n existe pas de législation spécifique venant encadrer la protection des informations confidentielles. Cette protection est cependant assurée par diverses mesures issues du Code de propriété intellectuelle et du Code de procédure civile. Celles-ci permettent entre autres le versement de dommages et intérêts, la mise en place de mesures provisoires d interdiction, de mesures conservatoires et d ordonnances temporaires. Par ailleurs, des poursuites pénales peuvent être engagées si la violation est caractérisée par une activité frauduleuse (vol, piratage etc.) Autres réglementations Ces règles peuvent différer selon le pays. Pour les connaître, il est recommandé au collaborateur de se renseigner auprès de son Responsable Sûreté Pays/Unité et de s y conformer. Thales - Guide de bonnes pratiques en matière de gestion de l information

15 15 Les bonnes pratiques Sans constituer une liste exhaustive, ci-dessous, un rappel de bonnes pratiques à observer pour optimiser le traitement de l information. Elles ont pour vocation d accompagner chaque collaborateur dans sa gestion quotidienne de l information. Marquer les documents et les fichiers Préalablement à tout échange ou partage, chaque fichier est marqué par le système de marquage approprié en fonction du caractère sensible des informations qu il contient et de l application (bureautique, collaboratif etc.). Maîtriser l usage des technologies de l information Dans sa gestion de l information, chaque collaborateur devra s assurer qu il utilise des moyens (matériels, logiciels, systèmes d information ou applications) délivrés et/ou dûment agréés par Thales et qualifiés pour traiter le niveau de sensibilité de l information qu il manipule. Il est, par ailleurs, conseillé au collaborateur de faire un usage raisonnable des moyens de communication mis à sa disposition. L utilisation des ordinateurs (plus particulièrement les ordinateurs portables) ou encore des smartphones, notamment à l extérieur de l entreprise, peut engendrer des risques de fuite d une information confidentielle. Boîte à Outils Réf. CHORUS GOV-GRP-FR-01 création octobre 2013

16 16 Adopter un comportement vigilant En toutes circonstances, il est vivement recommandé de ne pas laisser sans surveillance ses dossiers, documents ou toute information dont la divulgation et/ou la perte causerait un grave préjudice au Groupe. Ceci est particulièrement vrai lors d un déplacement à l extérieur de l entreprise mais également lors de la visite de tiers sur un site Thales. Boîte à Outils La conservation des documents Thales est tenu de conserver puis de détruire ses documents en fonction des délais et procédures légaux. Ces obligations varient en fonction des pays dans lesquels Thales opère et valent aussi bien pour les documents matériels que pour les données dématérialisées. Thales - Guide de bonnes pratiques en matière de gestion de l information

17 17 Quelques liens utiles Site intranet de la Direction de la Sûreté Référentiel Chorus 2.0 : Processus «Soutenir les Processus Opérationnels» «Assurer la Sûreté des personnes, biens, opérations et des informations» «Gérer les Systèmes d Information / Gérer la sécurité et les risques des SI» Site intranet de la Direction Ethique & Responsabilité d Entreprise Aller plus loin Réf. CHORUS GOV-GRP-FR-01 création octobre 2013

18 18 Documents de référence Code d Ethique Thales Instruction «Protection des informations Groupe» Référence Chorus GOV-GRP Charte relative au bon usage des ressources d information et de communication (charte informatique) Thales Référence Chorus GOV-GRP Global Principles of Business Ethics for the Aerospace and Defence Industry Aller plus loin Thales - Guide de bonnes pratiques en matière de gestion de l information

19 19 Contact : N hésitez pas à solliciter la Direction Ethique et Responsabilité d Entreprise : ethics.cr@thalesgroup.com + 33 (0) Réf. CHORUS GOV-GRP-FR-01 création octobre 2013 contact

20 Ce document est imprimé sur du papier recyclé Direction Éthique et Responsabilité d Entreprise 45 rue de Villiers Neuilly-sur-Seine Cedex France Réalisation : Zao+Stratécréa - Shutterstock