Données sensibles, conséquences publiques : ce que les discussions de groupe coûtent à votre entreprise

conseil aux entreprises
Written By Nathalie Pouderoux

Au cours de la dernière décennie, les plateformes de messagerie instantanée telles que WhatsApp ont largement dépassé leur vocation sociale initiale. Ce qui était au départ un outil destiné à la famille et aux amis est désormais solidement ancré dans le monde du travail, les services publics et même les administrations. Pour de nombreuses organisations, WhatsApp est devenu le canal de communication rapide par défaut, plus rapide que le courrier électronique, plus informel que les plateformes officielles et simple à utiliser.

Un incident récent a soulevé des questions quant à la sécurité des groupes de messagerie privés utilisés par les hauts responsables américains. Selon certaines informations, un journaliste aurait été ajouté par erreur à un groupe Signal comprenant le vice-président, le secrétaire à la Défense et le conseiller à la sécurité nationale. Ce groupe aurait été utilisé pour discuter de plans militaires, notamment des cibles, du calendrier et des armes utilisées.

Cet incident met en évidence un problème plus large qui concerne de nombreuses organisations : les plateformes de messagerie et les discussions de groupe, bien que pratiques, peuvent présenter de sérieux risques pour la sécurité lorsque des informations sensibles y sont partagées. Tout comme les fuites dans une discussion de groupe au sein d'une entreprise peuvent exposer des stratégies confidentielles, des données financières ou des informations sur les clients, le même principe s'applique aux plus hauts niveaux du gouvernement, mais avec des enjeux bien plus importants.

Risques liés à la protection des données

Bien qu'il offre un chiffrement de bout en bout, WhatsApp n'est pas à l'abri des défis liés à la protection des données. L'ajout d'une personne à une discussion de groupe peut entraîner le partage instantané de données à caractère personnel telles que des numéros de téléphone, des photos de profil et des mises à jour de statut. Si cette personne est ajoutée par erreur, elle pourrait avoir accès à des informations sensibles concernant l'entreprise ou les clients.

Un exemple notable concerne un hôpital qui a été réprimandé par le Bureau du commissaire à l'information (ICO) du Royaume-Uni après que des données médicales confidentielles aient été partagées dans un groupe WhatsApp et exposées en raison d'un ajout accidentel. Pour les secteurs tels que la santé, la finance ou le juridique, où des normes de conformité strictes s'appliquent, ce type d'erreur peut être particulièrement préjudiciable.

Les conversations ont souvent lieu sur des appareils personnels. En cas de perte, de vol ou de piratage d'un téléphone, l'entreprise risque d'exposer des données confidentielles sans aucun contrôle organisationnel sur la manière dont elles sont protégées.

Manque de transparence et de conservation des données

Un autre problème réside dans la traçabilité. Les messages WhatsApp peuvent être supprimés, modifiés ou envoyés en privé, ce qui rend difficile la conservation de données fiables sur les communications. Pour les secteurs réglementés, cela crée des lacunes en matière de conformité, car les organisations sont tenues de conserver un enregistrement complet des interactions avec leurs clients.

En fait, les messages WhatsApp peuvent être demandés en vertu des règles de protection des données par le biais de demandes d'accès aux données ou même des lois sur la liberté d'information. Des captures d'écran de messages ont déjà été utilisées dans des audiences disciplinaires, des tribunaux et des enquêtes publiques très médiatisées, ce qui montre que les discussions « officieuses » sont rarement aussi privées que les gens le pensent.

Une sécurité qui va au-delà du cryptage

Bien que le cryptage de WhatsApp soit robuste, il ne s'agit pas d'une solution universelle. Les cadres réglementaires tels que le RGPD britannique exigent non seulement des mesures de protection techniques, mais aussi des mesures organisationnelles, telles que des politiques, des formations et des contrôles, afin de garantir une utilisation responsable des données personnelles.

Il existe également des risques de phishing. Étant donné que n'importe qui peut vous contacter à l'aide d'un simple numéro de téléphone, la plateforme reste exposée aux messages malveillants ou aux liens frauduleux.

Mesures pratiques pour les entreprises

Pour les organisations qui choisissent d'utiliser WhatsApp, la clé n'est pas l'évitement, mais la gestion. Vous pouvez prendre les mesures suivantes :

  • Examiner où et comment WhatsApp est utilisé dans l'entreprise.

  • Définir des politiques claires sur l'utilisation acceptable, le ton et les délais de réponse.

  • Former les employés à la protection des données et aux risques liés à la communication.

  • S'assurer qu'il existe des plateformes alternatives sécurisées pour les informations hautement confidentielles.

  • Conserver les enregistrements des communications conformément aux obligations de conformité.

En fin de compte, WhatsApp n'est pas intrinsèquement dangereux, mais son caractère informel et sa popularité font que les entreprises ont tendance à négliger les risques. En l'absence de règles claires, des données sensibles peuvent passer entre les mailles du filet, exposant les entreprises à des atteintes à leur réputation, à des contrôles réglementaires et à des poursuites judiciaires.

À mesure que les discussions de groupe s'intègrent dans la culture organisationnelle, les dirigeants doivent trouver un équilibre entre rapidité et commodité d'une part, et responsabilité et sécurité d'autre part. Sinon, le coût d'un « message rapide » pourrait être bien plus élevé que prévu.

Comment Gerrish Legal peut vous aider?

Gerrish Legal est un cabinet juridique numérique et dynamique. Nous sommes fiers de prodiguer des conseils juridiques experts et de haute qualité à nos précieux clients. Nous sommes spécialisés dans de nombreux aspects du droit numérique tels que le RGPD, la confidentialité des données, le droit numérique et technologique, le droit commercial et la propriété intellectuelle.

Nous offrons aux entreprises le soutien dont elles ont besoin pour gérer leurs activités avec succès et en toute confiance tout en se conformant aux réglementations légales, sans avoir à se plier aux exigences numériques en constante évolution.

Nous sommes là pour vous aider, contactez-nous dès aujourd’hui pour plus d’informations. 

Article de Marina Danielyan, Paralegal de Gerrish Legal, et de Nathalie Pouderoux, Consultante pour Gerrish Legal

Nathalie Pouderoux
Next

Explication de la loi sur les données : comment les droits de transfert influencent les fournisseurs SaaS