Temps de lecture estimé : 3 minutes
Par Carla Boenigen et Mouhamadou Diene, étudiants Audencia Grande École.
En termes simples, l’éthique consiste à apprendre ce qui est bien ou mal, puis à faire ce qui est bien. Cependant, dans le domaine du conseil en organisation, il n’est pas toujours facile d’identifier la bonne chose à faire.
Cette question a encore plus d’impact lorsqu’elle est appliquée à la confidentialité dans le domaine du conseil. En théorie, les consultants semblent s’engager à la respecter et déploient de nombreuses mesures lors de la signature des contrats. Mais cela n’empêche pas d’observer des violations notoires, ce qui nous amène à poser cette question : comment la question de la confidentialité est-elle traitée dans le monde du conseil ?
Lors d’un entretien avec un consultant de l’un des cabinets de conseil les plus éthiques selon l’Institut Éthisphere, nous avons souligné l’importance de la confidentialité dans chacune de ses missions. Nous avons abordé six sujets connexes : la formation à la politique de confidentialité, l’impact de la crise de covid-19 sur les mesures de sécurité, la limite entre le partage des connaissances et la confidentialité, l’espionnage industriel et les cyberattaques, les sanctions en cas de fuites d’informations, enfin l’arsenal de mesures pour garantir la confidentialité dans le quotidien d’un consultant.
La formation à la politique de la confidentialité
C’est bien connu, la gestion de la confidentialité n’est pas considérée comme une compétence fondamentale dans les sessions de recrutement, bien qu’elle soit très importante. Il est donc de la responsabilité de l’entreprise de l’inculquer à son personnel. Les consultants sont formés aux politiques de protection de la confidentialité dès qu’ils rejoignent le cabinet. « Une journée est consacrée à la formation sur les multiples types d’informations, sur la cybersécurité, sur les mesures à appliquer en cas de déplacement et sur les bonnes pratiques à adopter pour assurer la sécurité de leurs informations », selon le consultant que nous avons interviewé.
En outre, les consultants sont formés à l’usage d’outils qui leur permettent d’échanger des documents de manière sécurisée. Ces outils sont à leur disposition ainsi qu’à celle du client pour échanger des informations. De plus, « des personnes extérieures, telles que des indépendants, peuvent également rejoindre ces outils et obtenir une licence du cabinet de conseil. »
L’impact de la crise de covid-19
À situation spéciale, mesures spéciales. La pandémie a entraîné l’introduction du télétravail et de nouvelles mesures ont été imposées aux consultants afin d’éviter les fuites d’informations et donc de maintenir la sécurité des données. Le consultant que nous avons interrogé indique que « les outils ont évolué durant cette période afin d’échanger des documents de manière sécurisée. De plus, les consultants ont parfois dû s’habituer aux logiciels de leurs clients pour envoyer des documents. »
La limite entre le partage des connaissances et la confidentialité
Notre interlocuteur nous indique que l’information est catégorisée : certains éléments sont présentés par le client et ne sont pas partagés pour garder certaines données confidentielles, certains sont communiqués aux consultants et restent strictement confidentiels, enfin certains se partagent pour de nouvelles missions. Le client choisit donc les informations que l’entreprise partage ou pas. En outre, il est intéressant pour les consultants de parler de leurs performances sur des missions précédentes afin de fournir des preuves de leur compétence. « On peut parler de la mise en place réussie d’un outil ou du doublement du chiffre d’affaires d’une entreprise […] sans parler du chiffre d’affaires exact de l’entreprise, qu’elle ne souhaite peut-être pas divulguer. » Il est donc important de partager les indicateurs clés de performance, comme nous le dit notre interlocuteur. Il est intéressant pour le cabinet de conseil de placer un consultant sur des missions non simultanées d’entreprises concurrentes afin qu’il partage ses connaissances et ses bonnes pratiques. Cependant, notre interlocuteur a affirmé qu’il est risqué et peu pratique de placer un consultant sur deux missions similaires simultanément en raison du risque de fuite d’informations.
L’espionnage industriel et les cyberattaques
Afin d’éviter les cyberattaques et plus particulièrement l’hameçonnage, notre interlocuteur nous indique qu’« il existe un système de mise en quarantaine des courriels avant leur réception. Des alertes arrivent plusieurs fois par mois pour avertir les consultants de l’existence de courriels suspects ». En ce qui concerne l’espionnage industriel, il est possible que certains consultants passent par une phase de vérification afin de s’assurer qu’il n’y a pas de fuite d’informations, concernant des missions pour l’armée ou les ministères, par exemple. Les personnes chargées de telles missions examinent le casier judiciaire des consultants, les dernières missions menées et s’il ou elle répond aux conditions et caractéristiques requises par le client.
L’arsenal de mesures pour garantir la confidentialité
Pour évoluer dans le monde du conseil, il est préférable de s’habituer à ces quelques mesures que nous citons en vrac. Et ce ne sont que quelques exemples parmi les nombreuses autres mesures de maintien de la confidentialité promues par les entreprises en France : des listes de clients dont les noms ne doivent en aucun cas être communiqués au monde extérieur, règles de cloisonnement entre les clients, séparation des équipes de consultants travaillant sur des missions de capital-investissement dans les fameuses « cellules de crise », cloisonnement des serveurs en interne, nettoyage des rapports avant leur mise à disposition dans les outils de gestion des connaissances, réalisation de la mission directement sur les ordinateurs du client, utilisation de poubelles scellées gérées par un prestataire externe spécialisé qui enlève régulièrement ces poubelles et en détruit le contenu en usine. Ce sont des mesures de base, mais ce ne sont pas les seules applicables. En fonction de sa spécialité, un cabinet de conseil va appliquer d’autres mesures de confidentialité encore plus complexes et spécifiques.
Sanctions en cas de fuites d’informations
Lorsqu’un consultant transmet des informations confidentielles, il ou elle est interrogé·e afin de connaître les circonstances et les conséquences de ces fuites. De quoi entraîner une mise à pied ou, dans le pire des cas, un licenciement pour faute grave. Malgré les sanctions appliquées au consultant, c’est l’entreprise qui sera tenue pour responsable en cas de manquement.
En résumé, nous devons nous rappeler que la gestion de la confidentialité est un défi de taille dans la vie d’un cabinet de conseil. Elle demande à la fois une sensibilisation des acteurs et un suivi rigoureux des procédures établies. Cependant, comme les pratiques de vigilance et de gestion des informations sensibles ne s’acquièrent pas facilement, une attention particulière doit être portée à la formation des consultants juniors sur le sujet. On peut donc espérer qu’en plus d’être déterminante, la confidentialité sera maîtrisée autant que possible pour garantir un meilleur avenir du secteur.
