Un jour, la Cnil aura le beurre et l’argent du beurre : des missions élargies ET des moyens augmentés en conséquence. Car pour l’heure, si elle se félicite de voir son champ agrandi dans son dernier rapport d’activité (pdf), elle déplore aussi de ne pas avoir les moyens d’y faire face. Une antienne qui n’a rien de nouveau.

La Cnil court après les caméras

La CNIL compte les caméras de vidéosurveillance et ses maigres économies. Pas de quoi surveiller les surveillants et ...

En 2011, la commission chargée de veiller à l’application de la loi “Informatique et Libertés” de 1978 a récupéré deux chapitres conséquents. Comme elle l’appelait de ses vœux, la Loppsi 2 lui a confié le contrôle des caméras de vidéoprotection vidéosurveillance relevant de la loi de 1995, celles sur la voie publique.

En 2011, leur chiffre est estimé à 897 750 par les commissions départementales de la vidéoprotection. Avant, elle ne devait s’occuper que de celles relevant de la loi de 1978, c’est-à-dire dans des locaux qui ne reçoivent pas de public (bureaux par exemple).

Soit comme le calcule le secrétaire général Yann Padova en introduction :

Un nombre de caméras près de 25 fois supérieur.

Second bébé,  qui découle de la transposition de la directive révisant le paquet Telecom, les entreprises du secteur des télécommunications doivent désormais notifier les violations de données à caractère personnel à la CNIL. Et là, c’est l’inconnue :

À cette heure, il est encore très difficile de pouvoir quantifier le nombre de failles de sécurité qui sont susceptibles d’être déclarées auprès de nos services.

En revanche, la Cnil est en sûre, les onze postes qu’elle a obtenus en plus l’année dernière, soit un total de 159, ne pèsent pas lourds :

Cette augmentation significative des moyens reste encore insuffisante, comme l’ont souligné les récents débats parlementaires lors du vote de la loi de finances pour 2012.

Même si l’organisme a multiplié les contrôles, 385, soit +25% par rapport à 2010, elle est loin de pouvoir en faire autant que l’enjeu le nécessite.

Explosion des plaintes

Dans ce contexte, le nouveau record de plaintes enregistrées, 5 738, est à double tranchant : il est à la fois le signe que les gens sont de plus en plus sensibles au sujet et reconnaissent la Cnil comme l’organisme de référence, mais il la renvoie aussi à ses limites humaines. Et encore, ce chiffre est à relativiser à la hausse, souligne-t-elle :

Ces chiffres sont d’autant plus remarquables qu’ils ne tiennent pas compte des milliers de demandes écrites de particuliers directement traitées par le Service d’orientation et de renseignement du public (SORP) de la CNIL, autrefois comptabilisées comme plaintes. Ils n’intègrent pas, non plus, les multiples questions téléphoniques de particuliers qui ont été prises en charge par le SORP et par le service des plaintes.

La hausse concerne tous les secteurs, et en particulier le “droit à l’oubli” (+ 42%, sans que le rapport ne donne plus de détails que les deux lignes qu’elle y consacre) et la vidéosurveillance, +30%. La surveillance des salariés est aussi une donnée notable : les plaintes à ce sujet concerne la moitié des 12% des plaintes relevant de la gestion des ressources humaines. La Cnil a observé deux tendance à la hausse significatives :

Cybersurveillance (+59%) : il s’agit des dispositifs mis en œuvre par l’employeur pour contrôler l’utilisation des outils informatiques et l’accès à la messagerie électronique.

Sécurité des données de ressources humaines (+27%) : faille de sécurité du réseau informatique ou erreur humaine ayant pour conséquence la divulgation, aux collègues ou plus largement sur internet, de données telles que le numéro de sécurité sociale, les revenus ou les coordonnées des salariés.

Caméras illégales

Les 150 contrôles effectués par la Cnil sur les dispositifs de vidéosurveillance montrent que l’outil évolue encore trop souvent dans l’illégalité :

Une absence d’autorisation ou absence de renouvellement préfectorale (environ 30 % des contrôles)
Une absence de déclaration à la CNIL pour les parties de dispositifs relevant de la loi de 1978 (environ 60 % des cas)
Une mauvaise orientation des caméras (environ 20 % des contrôles). Certains contrôles ont permis de constater des caméras “cachées”, notamment dans les détecteurs de fumées.
Une durée de conservation excessive (environ 10 % des contrôles)
Des mesures de sécurité insuffisantes (environ 20 % des contrôles).

Au passage, la Cnil a relevé que “l’utilisation de caméras factices et les dysfonctionnements pouvant affecter les dispositifs vidéo (absence d’enregistrement, mauvaise qualité de l’image, etc.” Si cela n’a rien d’illégal, ces constats apportent de l’eau au moulin des rapports démontrant l’inefficacité de la vidéosurveillance.

La rengaine du fichier erroné

Chaque année, le rapport de la Cnil est l’occasion de refaire le même triste constat sur les fichiers d’antécédents judiciaires, Judex, Stic, ancien fichier des RG… : ils sont truffées d’erreurs lourdes de conséquences. En effet, “on évalue à 1,3 million le nombre d’emplois concernés par des procédures administratives“, rappelle la Cnil. Fourre-tout record avec 68% de la population française fichées, le STIC mélange mis en cause mais aussi et surtout victimes.

Si une personne s’est vu refuser un emploi en raison de son inscription dans un de ces fichiers, elle peut faire valoir son droit d’accès indirect pour vérifier les données. 2099 personnes y ont eu recours en 2011 :

Comme le résume la Cnil dans la page qu’elle consacre ensuite à des témoignages de gens victimes d’erreurs :

Ça la fiche mal !

Et ça risque de la ficher encore mal un certain temps. Selon un rapport des députés Delphine Batho et Jacques-Alain Benisti, il existe 80 fichiers de police, “dont un certain nombre demeurent encore illégaux au regard des dispositions de loi ‘Informatique et Libertés’.”

Si un amendement de la Loppsi doit “atténuer l’effet pénalisant de la consultation [des fichiers d'antécédents judiciaires] en termes d’emploi”, son effet est pour l’instant virtuel :

L’application effective et immédiate de cette disposition à l’ensemble des enregistrements existants (environ 6,5 millions de personnes mises en cause enregistrées dans le fichier STIC et 2,5 millions dans le fichier JUDEX en 2011) se heurte néanmoins aux difficultés structurelles de mise à jour de ces fichiers qui dépend, dans une large proportion, de la communication aux services de police, par les procureurs de la République, des suites judiciaires intervenues pour chacune des infractions relevées.

—

À lire aussi Deux millions de contrôles au faciès et Le cadeau empoisonné des fichiers policiers

L’histoire a surgi sans crier gare au détour d’un blog publié le 8 novembre 2011 sur la plateforme de micro-blogging Tumblr. Intitulé « The real story – histoire d’un licenciement abusif », le site émane de l’ancien directeur de BNP Paribas Securities Services (BP2S), Jacques-Philippe Marson. A ses yeux injustement licencié pour faute grave en 2010, qu’il juge injustifié, il entend désormais porter son conflit avec la banque sur la place publique comme l’a révélé OWNI le 25 novembre.

Le fait pourrait sembler anecdotique et relever uniquement d’un conflit privé qui tourne au vinaigre entre un employeur intraitable et un ex-salarié évincé brutalement. Or, la controverse, abstraction faite du fonds de l’affaire pour laquelle je n’ai pas les compétences de juger, est loin d’incarner un évanescent épiphénomène. Avec la vigueur incontestée des réseaux sociaux et leur ancrage croissant dans le quotidien des gens, les entreprises vont très probablement se retrouver de plus en plus confrontées à d’acrimonieux salariés partageant depuis l’interne ou l’externe, leurs coups de gueule et leurs déboires professionnels. Avec des impacts réputationnels non négligeables à la clé. Petit tour d’horizon en quelques illustrations non-exhaustives et tentative d’analyse.

Coup de canif dans l’omerta bancaire

La démarche de Jacques-Philippe Marson a de quoi surprendre tellement la discrétion des lambris capitonnés de la banque s’applique en toutes circonstances, y compris lorsque les conflits les plus violents s’y produisent. Pourtant, des lézardes s’y étaient déjà faites jour avec la récente affaire Kerviel/Société Générale. Soutenu par des communicants rôdés, le trader jugé fautif n’avait pas hésité un instant à répandre publiquement tous les errements et contradictions des salles de marché. L’ancien directeur de la communication lui-même, Hugues Le Bret, s’était fendu par la suite d’un livre confession où il narrait par le menu et depuis les coulisses, le déroulement d’un des plus gros scandales bancaires. A cet effet, il y peignait sans concession des portraits veules et peu amènes de quelques acteurs ayant été mêlés au dossier.

Cette fois, la démarche du directeur déchu de BP2S est solitaire mais n’en est pas moins rentre-dedans. Sur la forme tout d’abord, tout est mis en œuvre pour s’assurer un écho maximal. Le site est publié sur Tumblr, la plateforme de blogging qui vient de détrôner la référence Wordpress et qui surtout connaît un succès foudroyant auprès des influenceurs numériques (dont les journalistes) toujours soucieux d’avoir une innovation d’avance. Ensuite, le contenu est systématiquement traduit en anglais, histoire sans doute d’élargir l’impact potentiel auprès de médias traditionnels et sociaux anglo-saxons souvent friands de petites histoires.

Le ton est également extrêmement offensif et fulminant comme en témoigne cet extrait :

Après une longue période de silence (j’en expliquerai les raisons) et face à l’injustice bien organisée que je subis, j’ai décidé de me défendre et de m’exprimer publiquement par la voie de ce blog. Tout ce qui sera publié sera factuel et appuyé par des preuves écrites et par des témoignages. Je décrirai les événements tels que je les ai vécus, étape par étape, sous forme d’un résumé et d’une narration détaillée (…) Dans ce dossier, tout porte à croire que la décision de me licencier a été prise le premier jour de l’inspection. A partir de cette date, le groupe a déployé des moyens considérables, internes et externes, pour tenter de démontrer le bienfondé de sa décision … en vain.

On ne peut guère faire plus clair en termes de pressions menaçantes. Toutefois, la récolte a été bien maigre en articles puisqu’en plus d’OWNI, seul le site L’Expansion/L’Express s’est fait écho du dossier jusqu’à aujourd’hui.

La schizophrénie digitale des entreprises

Même si dans ce cas précis, la banque incriminée a feint de ne prêter qu’une attention mesurée aux attaques de son ancien cadre – elle a tout de même bloqué l’accès du blog en interne -, les entreprises ont malgré tout conscience que la donne réputationnelle est en train d’être sérieusement bouleversée avec l’entrelacs des réseaux sociaux où les frontières entre vie privée et vie professionnelle ont tendance à s’estomper. Une étude menée par le fabricant de logiciels de sécurité Symantec souligne que 94% des entreprises reconnaissent des incidents liés aux médias sociaux et ayant des répercussions concrètes sur l’image de l’entreprise, ses activités et ses relations avec les clients.

Cependant, reconnaître n’implique pas forcément admettre ou comprendre. Face à ce qu’elles estiment constituer un péril pour la réputation de leur enseigne, les entreprises oscillent souvent entre l’établissement de chartes internes pour tenter de réguler de potentielles dérives et l’inflexibilité radicale en bloquant les accès aux réseaux sociaux depuis les postes externes. Selon une étude du Kaspersky Lab en septembre 2011, 64% des sociétés françaises ont recours à de telles extrémités à l’heure où le Web 2.0 bat son plein et où ces mêmes sociétés déclament vouloir investir celui-ci … pour leurs marques !

De fait, les réseaux sociaux sont encore perçus en majorité sous l’angle de la marque employeur. On ouvre souvent une page Facebook, un fil Twitter ou un blog à l’effigie de l’entreprise avec des objectifs essentiellement liés à des problématiques RH de recrutement. C’est certes un canal extrêmement important puisqu’en 2011, une étude MBAonline montre que 36 millions de postes ont été pourvus via les réseaux sociaux aux Etats-Unis. Il n’en demeure pas moins que se cantonner uniquement à cet aspect revient à ne considérer qu’une des deux faces d’une pièce !

Le silence est d’or mais la parole est digitale !

N’en déplaisent aux dirigeants, vouloir ériger des murs digitaux autour de leurs employés procèdent plutôt du fantasme inatteignable que d’une démarche constructive. Il ne s’agit évidemment pas de sombrer inversement dans le laxisme le plus total et laisser les collaborateurs s’épancher sans retenue. Mais pour autant, il est vain de s’adonner à l’ultra-contrôle.

Ainsi, en septembre dernier, un employé de Microsoft, Joe Marini, n’a pas pu s’empêcher de tweeter fièrement à plusieurs reprises ses impressions personnelles sur le futur premier mobile fruit de l’union de Nokia et de la firme de Redmond, le Lumia 800. Impressions tellement précises qui eurent le don d’agacer son employeur d’autant qu’il n’en était pas à sa première incartade. L’homme fut congédié mais ce dernier n’a guère tardé à retrouver un poste chez … Google dans le domaine du développement et de la téléphonie. Autant dire qu’il aura tout loisir de mettre à profit son savoir autrement que par Twitter !

Cliquer ici pour voir la vidéo.

Ceci dit, Google s’est retrouvé face à un cas similaire un mois plus tard. Steve Yegge, ingénieur logiciels impliqué dans le développement du nouveau réseau social Google +, a rendu publique par erreur une note interne assassine où il qualifie le projet d’« exemple parfait de notre échec complet à comprendre les plateformes ». Plus loin, il continue son carnage verbal en comparant Google + et Facebook :

Google+ est une réaction réflexe, un cas d’école de pensée court-termiste, fondé sur la notion fausse que Facebook a du succès car ils ont bâti un super produit. Mais ce n’est pas ça, la raison de leur succès. Facebook a du succès car ils ont construit une constellation entière de produits en autorisant les autres à faire le boulot. Ce qui fait que Facebook est différent pour chacun

. Une boulette qui est tombée d’autant plus mal que Google + marque de plus en plus le pas auprès des internautes ! A ce jour, Steve Yegge est toujours en poste mais nul doute qu’il doit être très probablement dans ses petits souliers, Google n’ayant guère pour habitude de badiner avec les secrets éventés par les Googlers !

Dura lex sed lex ? Pas si sûr !

Les salariés s’emparant du Web pour régler des comptes ou se défouler d’un mal-être subi dans l’entreprise ne sont certes pas inédits en soi. Chacun se remémore sûrement de la passe d’armes digitale et judiciaire qui a opposé en 2006, le constructeur automobile Nissan et une salarié qui avait conté sur son blog sa mise au placard puis son licenciement. L’impétrante fut condamnée pour diffamation mais non obligée par les juges de fermer le blog.

Bien que le droit du travail exige des notions de loyauté, de confidentialité et de discrétion d’un employé vis-à-vis de son entreprise, l’article 7 de la Convention européenne des droits de l’homme préserve la liberté d’expression du salarié – citoyen. Le même code du Travail français renchérit avec l’article L.146-1 :

(si) les salariés bénéficient d’un droit à l’expression directe et collective sur le contenu, les conditions d’exercice et l’organisation de leur travail et que les opinions que les salariés, quelle que soit leur place dans la hiérarchie professionnelle, émettent dans l’exercice du droit d’expression ne peuvent motiver une sanction ou un licenciement.

Extension du domaine de la lutte

Et de ce droit, nombreux sont ceux à s’en priver de moins en moins pour dénoncer des choses qui constituent à leurs yeux des dérives ou des injustices patentées. A cet égard, on peut citer le blog de Mourad Ghazli. Salarié de la RATP et ex-syndicaliste, il a osé contredire la direction de l’entreprise aux prises avec une affaire poisseuse de harcèlement sexuel impliquant un autre syndicaliste en échange d’avancement professionnel pour les personnes qui acceptaient. Pour Mourad Ghazli, la direction connaissait les agissements du personnage. Aussi pour étayer ses dires, n’a-t-il pas hésité à publier sur son blog une vidéo et des photos troublantes où figurent des hauts dirigeants de la RATP avec le dit personnage. Actuellement, il affronte une plainte pour diffamation et une procédure de révocation disciplinaire.

Dans des registres proches, on peut aussi parler de la chronique que tient un ingénieur anonyme sur Rue89 sous le pseudo « Bientôt licencié ». Ayant su par SMS fin septembre 2011 que sa société high tech allait être liquidée, il a décidé de narrer le quotidien des employés jusqu’à l’inéluctable conclusion. Tout y passe, des réunions de CE où la direction est pitoyable aux collègues qui craquent et qui boivent.

Dans un autre genre mais tout aussi caustique, on trouve « Le Blog du Super Consultant »(10). Créé en 2010 et animé par une poignée de salariés rebelles et également anonymes, le site étrille « joyeusement » le management de la célèbre agence de communication Publicis Consultants et se paie même la tête de certains clients jugés désagréables, voire insupportables. Dernier exemple en date : quand Maurice Lévy, le PDG annonce qu’il renonce à son salaire fixe, la nouvelle fait grand bruit dans la presse. Aussitôt, le blog s’empresse de remettre le « sacrifice » salarial du grand patron dans son contexte. Et là, la lecture est effectivement édifiante et quelque peu éloignée du plan com’ patronal !

Vers la guerre de tranchées numériques ?

Qu’elles le veuillent ou non, les entreprises pourront de moins en moins empêcher les prises de parole à la sauce 2.0, notamment avec l’émergence programmée de la génération Y qui va grimper en responsabilités dans les organigrammes. Or, cette génération ne cultive pas vraiment le même rapport que ses aînés avec le monde de l’entreprise. Elle est même plus aisément encline à stigmatiser les incohérences des discours et les faire savoir si besoin. Si l’on ajoute de surcroît, une certaine déliquescence du lien social dans de nombreuses entreprises (exacerbé avec la crise actuelle), il ne serait guère étonnant de voir essaimer encore plus d’expressions de salariés sur les réseaux sociaux.

Tous bien sûr ne pratiquent pas le jeu de massacre à l’égard de leur société mais en y regardant de plus près, beaucoup se confient plus ou moins. Il suffit pour cela d’aller faire un tour par exemple sur le site notetonentreprise.com. Sans forcément toujours aboutir à des démarches volontaristes comme l’ex-directeur de BP2S, ils lâchent cependant des infos. Certaines sont bonnes et valorisantes pour l’image de l’entreprise. D’autres au contraire vont à rebours des discours et des stratégies de communication soigneusement ciselés par les staffs communicants.

Or, le risque de grand écart réputationnel n’est plus écarter à mesure que la parole se répand sur les réseaux sociaux. Consultant et expert en management 2.0 et réseaux sociaux, Bertrand Duperrin trace avec acuité le défi que salariés et entreprises doivent relever si l’on veut éviter une sorte de « Verdun numérique » sur la Toile :

« Quoi qu’il en soit ce ne sont pas des sujets à traiter de manière unilatérale : réputation, qualité, performance économique actuelle et durable se construisent ensemble, avec les mêmes ressorts. Si toutes les parties prenantes ne s’y attèlent pas ensemble il n’y aura pas de gagnant d’un coté et de perdant de l’autre mais uniquement des perdants. Salariés ou entreprises. Qu’on se le dise ».

Illustrations par via Flickr Patrick Gage [cc-bync] ; fpra [cc-bync].