DOSSIER
N°60 - MARS 2013
Votre patrimoine informationnel est-il en sécurité? Avec la démocratisation des TIC et l’explosion du nombre de données à gérer et conserver, le patrimoine informationnel des entreprises est devenu un « trésor » à protéger et à valoriser. Conseils et partage d'expériences.
02 « Tout collaborateur est un producteur de données »
Plus riche que jamais, le patrimoine informationnel de l'entreprise couvre de plus en plus d’éléments sur fond de Big Data, de numérisation, d’obligations réglementaires et de difficultés de stockage.
08 « Notre culture s’articule autour de la recherche d’une sécurité maximale » Au sein du groupe Toshiba TEC, Valérie Amand a contribué à dessiner le département financier du site de Bruxelles, siège du groupe en Europe. Un des défis a été de structurer l’information en provenance de toutes les filiales.
10 « Il n’y a pas de protection globale en matière de capital informationnel »
Au niveau juridique, que ce soit à l’échelle européenne ou nationale, il n’existe pas une seule loi qui encadre entièrement le patrimoine informationnel des entreprises. Plusieurs protections à combiner peuvent contribuer à protéger les éléments constitutifs de ce patrimoine.
13 « L’agrément PSF est un exemple à suivre »
Le Luxembourg s'est doté d'un catalogue d’agréments « Professionnel du secteur financier », auquel sont soumis certains prestataires de services sur son territoire. Ce statut est unique en son genre et permet notamment de garantir la sécurité des données.
DOSSIER TEXTE : FLORENCE THIBAUT
2
Tout collaborateur est un producteur de données Avec la démocratisation des TIC et l’explosion du nombre de données à gérer et conserver, le patrimoine informationnel des entreprises est devenu un « trésor » à protéger des attaques extérieures comme des mauvais usages internes. Plus riche que jamais, il couvre de plus en plus d’éléments sur fond de Big Data, de numérisation, d’obligations réglementaires et de difficultés de stockage.
S
ouvent accompagné d’une charte ou d’un code
à la Vlerick Business School et pour son centre dédié aux
de conduite fixant ses limites, le patrimoine in-
services financiers; Olivia Santus est responsable de l’Intel-
formationnel concerne chaque collaborateur de
ligence stratégique à l’Agence de Stimulation économique;
l’entreprise. Le CFO est souvent celui qui, avec le
Annick Castiaux est Professeur de gestion des technologies
CIO, a accès à l’ensemble des données. Utilisateur très impli-
et de l’innovation à l’Université de Namur à l’Université de
qué dans la gestion de l’information, il est bien placé pour dif-
Namur; et Jérôme Mendiela est responsable Business Deve-
fuser des bonnes pratiques au sein de son département, un
lopment chez Numen.
des plus grands producteurs de données sensibles. Protéger
« Ces dernières années, on constate une croissance de l’inté-
son patrimoine implique de sensibiliser ses collaborateurs à
rêt pour le patrimoine informationnel, c’est sans doute lié aux
une saine gestion.
questions de gouvernance de l’information, observe Annick
Quatre experts nous expliquent leurs trucs et astuces pour
Castiaux. Notre économie de la connaissance fait aujourd’hui
optimiser sa politique de sécurité: Bjorn Cumps est chercheur
de l’information ce qui nous différencie de nos concurrents. Les
FINANCE MANAGEMENT - N°60 - MARS 2013
données sont une vraie richesse et la gestion stratégique de cet avantage est déterminante. Les entreprises qui parviennent à en extraire de la valeur sont celles qui tirent leur épingle du jeu. »
DÉFINITION FLUCTUANTE S’accroissant avec les années, le patrimoine informationnel, appelé aussi capital immatériel, peut se résumer comme tout ce qui fournit de l’information à une entreprise à propos de son passé, son présent et son futur. Le type de données à considérer et à conserver varie selon la nature du business de l’entreprise, ses obligations réglementaires et ses modes d’organisation internes. « Il s’agit d’un ensemble d’actifs constitués d’informations, de données ou encore de connaissances détenues et produites par une entreprise, définit Olivia Santus. Ces actifs ont une valeur à l’instar de tout autre actif au sein d’une organisation. Et il est, dès lors, indispensable de protéger ce patrimoine pour assurer la pérennité de l’entreprise. » Pour Jérôme Mendiela, c’est tout ce qui dépasse une génération en durée de conservation dans la vie d’une entreprise: « Se préoccuper de son patrimoine informationnel, c’est protéger des documents qui engagent et qui permettent à l’organisation
Annick Castiaux: « Les données sont une vraie richesse et la gestion stratégique de cet avantage est déterminante. Les entreprises qui parviennent à en extraire de la valeur sont celles qui tirent leur épingle du jeu. »
de valoriser son fond de commerce, de se défendre, de maintenir sa conformité réglementaire, sociale ou fiscale. En France,
En général, pour beaucoup d’organisations, cela se complexifie
beaucoup d’obligations légales imposent une durée de conser-
au niveau des prévisions pour le futur. « C’est pourtant le niveau
vation de minimum six ans. » Certains documents doivent être
qui apporte le plus de valeur ajoutée, ajoute-t-il. Scénarios, simu-
conservés de manière universelle, comme les documents fis-
lations, extrapolation ou prédictions de résultats sont indispen-
caux, d’autres sont propres à la réglementation d’une activité
sables pour comprendre son business et faire évoluer sa stratégie.
particulière. « Le capital informationnel se trouve à différents
» Chaque espace temporel engendre donc ses propres défis.
endroits: chez les employés, dans les fichiers clients, chez les par-
« Repérer les informations dans son environnement, construire
tenaires ou les fournisseurs », complète Annick Castiaux.
des projections, des tendances de consommation ou dessiner des évolutions potentielles sont des actions qui demandent un
PRÉPARER LE FUTUR Pour Bjorn Cumps, ce patrimoine informationnel doit avant
niveau de veille élevé », le rejoint Annick Castiaux.
tout combiner deux dimensions: informations et analyses.
BIG DATA
Pour dégager de la valeur de ce flux constant d’informations,
Quelles sont les données clés de ce patrimoine? Bons de com-
il faut dépasser la simple collecte de données. « Ce patrimoine
mande, documents sociaux, garanties, descriptions de pro-
peut être très large. En combinant les différentes dimensions,
duits, factures, brevets, plans, fichiers clients ou RH peuvent
on arrive à plusieurs niveaux de lecture. La plupart des entre-
en faire partie. Une des difficultés à adresser est la multipli-
prises sont assez avancées dans l’agrégation des données pas-
cation des sources d’informations, qui partent souvent dans
sées, qui sont générées par un reporting basique et constituent
toutes les directions.
la première couche du patrimoine informationnel. En d’autres
« On assiste à un mélange de plus en plus important entre
termes, on se demande ce qui s’est passé et pourquoi. Les don-
des données structurées – fichiers clients, RH… – et déstructu-
nées liées au présent de l’entreprise doivent généralement être
rées – comme des photos, des postes écrits sur des blogs, des
monitorée en temps réel et répondent à la question: que se
messages émanant de Twitter, des vidéos ou encore des pré-
passe-t-il en ce moment? Et comment réagir? »
sentations powerpoint. Toutes ces données demandent des stratégies différentes. Non seulement Big Data occasionne une explosion des volumes, mais aussi une accélération sans précédent des formes de données et de la vitesse d’échange.
« L’Intelligence Stratégique doit percoler à tous les niveaux de l’entreprise: du dirigeant à l’ouvrier. »
IDC estime ainsi que tous les 2 ans, on double chaque donnée, c’est effrayant, mais cela peut aussi être une opportunité », poursuit Bjorn Cumps. Ces données à examiner proviennent à la fois de canaux internes et externes, sont relatives aux clients, fournisseurs, partenaires, au marché et ses tendances. « Aujourd’hui, FINANCE MANAGEMENT - N°60 - MARS 2013
3
DOSSIER
4
Bjorn Cumps: « Mal définir son patrimoine informationnel peut donner lieu à des décisions business non pertinentes et mettre à mal l’avantage compétitif d’une entreprise. » les échanges d’informations se sont énormément accélérés,
meilleur conseil est sans doute d’être attentif aux informations
notamment en raison de la démocratisation des outils mobiles,
que les collaborateurs publient sur leurs comptes. Toute publi-
remarque Jérôme Mendiela. Les volumes explosent, les règles
cation doit s’accompagner d’une réelle réflexion », souligne
de conservation se durcissent, les transferts sont de plus en plus
cette dernière.
multicanaux et les processus ne sont pas toujours adaptés à ces nouvelles réalités. Les signatures électroniques ou les télé-
PLAN DE STOCKAGE
procédures permettent de s’engager en ligne. Un simple mail
« Outre les obligations légales ou les contraintes comptables, il
peut avoir beaucoup d’impact sur une entreprise. Un CFO, par
faut particulièrement faire attention au danger de l’oubli, pointe
exemple, peut passer commande ou réserver un nom de do-
encore Annick Castiaux. L’informatique évolue très rapidement,
maine depuis son Smartphone. »
certains formats ou systèmes pourraient ne plus être accessibles ou lisibles dans 30 ou 50 ans, cela peut être un drame. Maintenir
MAINTENIR SON PATRIMOINE
son patrimoine passé est important pour le futur. »
Pour Olivia Santus, toute perte ou dommage de ce capital
Se tromper dans la définition de son capital information-
informationnel peut mettre en danger la continuité de l’en-
nel peut également avoir de graves conséquences écono-
treprise. On peut notamment penser à une fuite d’informa-
miques. « Mal définir son patrimoine informationnel peut
tions sur les réseaux sociaux à propos de la stratégie d’une
donner lieu à des décisions business non pertinentes et mettre
organisation, la publication d’une découverte par un départe-
à mal l’avantage compétitif d’une entreprise », soutient Bjorn
ment R&D sur un forum ou encore des comptes en ligne trop
Cumps. Pour pouvoir être à même de retrouver les informa-
détaillés. Les exemples ne manquent pas dans la presse. « Le
tions dont on aura besoin à l’avenir, il n’est pas inutile de faire un plan de conservation très détaillé, comprenant un tableau de classement et des méta-données sur les informations stockées.
« Il s’agit d’un travail collectif, un seul homme ne suffit pas. » FINANCE MANAGEMENT - N°60 - MARS 2013
« En réalisant une mauvaise définition des contours de son patrimoine, on risque de ne pas conserver les bonne pièces aux bonnes durées, ni de pouvoir les retrouver, appuie Jérôme Men-
diela. Si beaucoup d’entreprises ont compris l’importance des
informations il peut partager. Cette sensibilisation représente
sauvegardes, elles n’optimisent pas forcément leur système de
parfois une nouvelle culture d’entreprise à instaurer ».
classement et de stockage. Une entreprise qui perd des docu-
« L’accès aux données doit s’accompagner de responsabilités
ments importants, suite à un incendie ou un dégât des eaux, a
claires », insiste Bjorn Cumps. Jérôme Mendiela recommande,
cinq fois plus de chance qu’une autre de déposer son bilan dans
quant à lui, une double cartographie afin de déterminer les
les trois ans. Le vrai problème est plus le stockage et l’archi-
documents qui engagent l’entreprise de manière courante.
vage, que la sauvegarde. Conserver ne suffit pas. D’autant plus,
« Il faut répertorier les flux entrants de documents ainsi que
5 Olivia Santus: « A l’instar de la Car Policy, on recommande généralement la rédaction d’une charte d’utilisation du matériel informatique, d’Internet et des réseaux sociaux au sein de l’entreprise. Celle-ci peut être annexée au règlement de travail. »
que certains outils, comme les ERP, deviennent de plus en plus
l’historique du patrimoine informationnel. Aucune entreprise
sophistiqués et complexifient ce travail de sauvegarde à long
ne va conserver 100% de ses documents. Ce travail qui, autre-
terme, notamment au niveau comptable. »
fois, était fait manuellement par des petites mains, est à présent réparti entre plusieurs acteurs. Les métiers d’archiviste
CARTOGRAPHIER LES RISQUES
ou de documentaliste, qui étaient responsables de la gestion
Pas toujours au fait de ce qu’ils peuvent ou ne peuvent pas
des documents, ont disparu des entreprises. On a supprimé les
partager et diffuser comme informations, les travailleurs
personnes intermédiaires. Pour fixer les responsabilités, un vrai
pèchent parfois par méconnaissance. On estime d’ailleurs
projet d’archivage va devoir concerner tout le monde. Il faut le
qu’environ 80% des pertes d’information proviennent de l’in-
publier et l’expliquer. »
térieur d’une entreprise. Plus que le choix d’un anti-spam ou d’un firewall, c’est le partage de bonnes pratiques qui peut
SENSIBILISER L’UTILISATEUR
faire la différence. Avant toute politique, il s’agit de réaliser
Des protections physiques et/ou juridiques peuvent ensuite
un état des lieux des informations à protéger.
contribuer à limiter les risques et encadrer les usages. Avant
« Il est essentiel de préalablement classer ses données par cri-
toute chose, sensibiliser le personnel aux risques potentiels
tère de sensibilité et de valeurs, indique Annick Castiaux. Plu-
est un premier travail important. « Le risque zéro n’existe pas. Il
sieurs outils existent, dont celui de différencier l’accès à l’infor-
faut en prendre conscience, observe Olivia Santus. Cependant,
mation, ce qui implique de donner des droits différents selon la
différents niveaux de protection peuvent être pertinents selon
fonction des individus. Chacun doit précisément savoir quelles
les cas de figure, par exemple, des mécanismes de protection FINANCE MANAGEMENT - N°60 - MARS 2013
DOSSIER
6 Jérôme Mendiela: « Se préoccuper de son patrimoine informationnel, c’est protéger des documents qui engagent et qui permettent à l’organisation de valoriser son fonds de commerce, de se défendre, de maintenir sa conformité réglementaire, sociale ou fiscale. » intellectuelle ou industrielle, l’utilisation de certaines clauses
se doit de maîtriser les règles de copie conforme. C’est une
de non concurrence dans les contrats des employés, le renfor-
protection supplémentaire, qui permet aussi de partager son
cement du contrôle de l’accès physique à ses bâtiments, une
patrimoine informationnel, de le laisser vivant et de retrouver
politique plus stricte de sécurité ou une attention accrue à qui
ses documents plus facilement. »
accède au réseau informatique. »
Chacun des acteurs qui constitue l’entreprise est donc
CONSCIENCE COLLECTIVE
concerné par la protection du patrimoine informationnel, de la direction jusqu’aux standardistes, en passant par les com-
Tous les employés n’ont pas besoin d’un accès à toutes les
merciaux. « Ce n’est pas qu’un problème de CIO », souligne
informations situées sur le serveur de l’entreprise, ajoute-
Jérôme Mendiela. « Tout collaborateur est un producteur de
t-elle. « Il est certain qu’une sensibilisation du personnel
données, il faut le garder à l’esprit », ajoute Bjorn Cumps.
à l’utilisation des informations stratégiques et confi-
L’ASE partage la même vision. « L’Intelligence Stratégique
dentielles est indispensable. Il est nécessaire qu’ils com-
doit percoler à tous les niveaux de l’entreprise: du dirigeant
prennent que la pérennité de leur emploi est en jeu. Cepen-
à l’ouvrier. Cela doit devenir une démarche naturelle, un véri-
dant, cela sous-entend que la direction de l’entreprise ait
table état d’esprit, au même titre que la démarche qualité ou
elle-même défini quelles sont les informations stratégiques
la politique de prévention des accidents du travail. Les enjeux
et confidentielles. »
économiques paraissent peut-être moins tangibles, mais sont
Faire numériser son patrimoine par un tiers peut aussi être
pourtant comparables », défend Olivia Santus.
une piste pour s’assurer de la traçabilité de ses informations.
Bien sûr, le CIO occupe une position de choix dans cette lutte
Cela permet également de se poser les bonnes questions.
quotidienne, surtout que, dans de nombreuses structures,
« Numériser ses documents importants permet de s’assurer de
il rend désormais des comptes au CFO. « La gestion des don-
leur sécurité, de leur pérennité et donc de sa conformité aux
nées est reconnue comme un enjeu stratégique. Le CIO est
obligations légales, explique Jérôme Mendiela. Un prestataire
donc très souvent devenu une figure du comité de direction,
FINANCE MANAGEMENT - N°60 - MARS 2013
de disposer de systèmes d’informations pertinents. Il doit aussi
« Il faut avant tout bien différencier ce qui est public de ce qui est privé. »
consentir aux investissements nécessaires. » « Aller sur le cloud, faire face à Big Data, s’équiper d’outils performants, sont des enjeux qui sont loin de se réduire à la technique », complète Bjorn Cumps. Il ne faut pas non plus oublier que les dommages portés au patrimoine informationnel ne sont pas toujours causés intentionnellement ou dans le but de nuire. « Certaines erreurs ou maladresses peuvent être occa-
constate Annick Castiaux. Il s’agit d’un travail collectif, un seul
sionnées par tout le monde. Elles peuvent être l’utile révélateur
homme ne suffit pas. Il doit veiller à la mise en place des bonnes
des failles ou des faiblesses de l’organisation. Il faut donc éviter
technologies, à la définition des processus, à la formation du
la stigmatisation systématique afin de permettre aux collabo-
personnel, et ce, en interaction avec les autres fonctions diri-
rateurs de s’exprimer et tirer les leçons des problèmes rencon-
geantes. De son côté, le CFO doit être conscient de l’importance
trés», rappelle Annick Castiaux.
DO’S AND DON’TS
Le cloud pose encore de nombreuses questions
Pour protéger leur capital informationnel, de nombreuses organisations n’hésitent plus à faire signer un code de conduite ou une charte détaillant les bonnes pratiques à adopter, voir même les sanctions prévues en cas de manquement. Nos
Très prisé des médias, le cloud computing est encore
experts sondés s’y montrent tous favorables. « A mes yeux,
pourtant loin de faire l’unanimité. S’il séduit pour des
adopter un code de conduite est indispensable, parce qu’il repré-
raisons économiques, de réduction de coûts ou d’ajouts
sente une référence commune à tous, standardisée et normali-
de services, de capacités de stockage et d’agilité, il en re-
sée, confirme Annick Castiaux. Le type de code et son contenu
froidit d’autres pour des contraintes liées à la traçabilité
varient généralement selon le secteur d’activité et le degré de
de l’information. « Le cloud représente le degré le plus éle-
sensibilité des données. Bien sûr, le texte ne se suffit pas à lui-
vé d’externalisation informatique et pose des problèmes
même, il faut en expliquer les raisons à ses collaborateurs, les
de perte de contrôle sur les systèmes d’information d’une
conscientiser et détailler le bien-fondé de sa politique de sécurité.
entreprise, met en garde Olivia Santus. C’est d’autant
Il faut également prévoir des sanctions attachées au non-respect
plus vrai que les informations sont protégées par la loi du
des consignes. Si les contraintes sont trop strictes ou trop nom-
pays où elles sont stockées. Il est donc indispensable de
breuses, bien souvent, les travailleurs essayent de s’en écarter
savoir où sont hébergées ces données, un audit sécurité de
pour pouvoir faire leur travail. L’équilibre doit constamment être
son prestataire est particulièrement recommandé. »
trouvé entre flexibilité et encadrement. »
« Même si l’on parle beaucoup de cloud, dans les faits, ex-
L’utilisation des e-mails, l’engagement du management et ce-
ternaliser ses données est encore quelque chose qui pose
lui du personnel, la connexion au réseau informatique depuis
problème pour de nombreuses organisations, complète
l’extérieur, l’utilisation du Wifi, le recours à des clés USB, font
Bjorn Cumps. Plusieurs enjeux n’ont pas encore trouvé de
partie des points qui y figurent souvent. « Il faut avant tout
réponse. Je n’imagine pas les banques, par exemple, ten-
différencier ce qui est public de ce qui est privé, insiste Bjorn
ter le cloud avant longtemps, si ce n’est, peut être pour des
Cumps. Dans des secteurs mobilisant des données sensibles,
applications périphériques. »
on peut penser aux banques ou aux hôpitaux, c’est particuliè-
Il s’agit aussi de bien négocier son contrat, fixer un ser-
rement impératif. Un code de conduite efficace doit fixer plu-
vice level agreement et se méfier des prestataires en cas-
sieurs principes phares comme le niveau de qualité des données
cade. On ne se lance pas dans le cloud en un clic, il faut
ou les durées de conservation, par exemple, des informations
faire attention à différents éléments avant de tenter
émanant de Twitter ou Facebook. »
l’expérience. La responsabilité ultime de la sécurité des
« A l’instar de la Car Policy, à l’Agence de Stimulation Econo-
données reste toujours dans le chef de la société, même
mique, on recommande généralement la rédaction d’une
si elle fait appel à un prestataire. « Le cloud peut être une
charte d’utilisation du matériel informatique, d’Internet et des
solution intéressante pour l’ubiquité de l’information et
réseaux sociaux au sein de l’entreprise. Celle-ci peut être an-
le travail à distance, conclut Annick Castiaux. Bien sou-
nexée au règlement de travail. Il est important de fixer un cadre
vent, on y met que des informations sans risque. Le dan-
clair et de sensibiliser les employés afin qu’ils y adhèrent. Il va
ger est qu’on ne maîtrise plus soi-même toute la gestion
de soi que l’adhésion du management, qui donne l’exemple, est
de ses informations. On est à la merci d’un prestataire. Il
incontournable », appuie Olivia Santus. S’aligner à la norme
faut absolument déterminer avec lui des clauses de mise
ISO-17799, qui est un code de bonnes pratiques reconnues
à disposition de l’information et prévoir des garanties. »
internationalement pour la gestion de la sécurité de l’information, peut aussi aider dans ce domaine. FINANCE MANAGEMENT - N°60 - MARS 2013
7
DOSSIER TEXTE : FLORENCE THIBAUT
Notre culture s’articule autour de la recherche d’une sécurité maximale 8
Au sein du groupe Toshiba TEC depuis douze ans, Valérie Amand gère aujourd’hui toute la comptabilité à l’échelle européenne. Interlocutrice majeure du CFO basé en Allemagne, elle a contribué à dessiner le département financier du site de Bruxelles, siège du groupe en Europe. Un des défis a été de structurer l’information en provenance de toutes les filiales.
A
ctuellement Operating Officer et Corporate
cation directe représente une grande partie de mon travail, c’est
Finance Manager, Valérie Amand couvre tous
très important d’avoir des informations organisées par pays afin
les domaines financiers liées au « back office »,
de faire des prévisions pertinentes. Ce feedback du business est es-
coordonne une équipe de dix personnes à
sentiel en matière de budget, plans ou stratégie. » Spécialisé dans
Bruxelles et gère tous les Finance Managers en Europe, ce qui
la haute technologie, le groupe japonais est présent dans 15
suscite très fréquemment des déplacements et des réunions à
pays européens, à travers des filiales et des revendeurs locaux.
distance. « Mon poste implique beaucoup de transmissions d’informations et d’instructions à donner, confie-t-elle. Au minimum
CHEF D’ORCHESTRE
une fois par mois, je réalise une vidéoconférence avec chaque Fi-
Une des premières personnes à être engagée lors de la créa-
nance Manager afin de faire le point avec chacun sur la situation
tion du bureau à Bruxelles en 2000, Valérie Amand a contri-
financière de l’entreprise. Je participe aux réunions mensuelles en
bué à construire toutes les procédures de travail du départe-
face à face avec les Branch Managers et Country Managers. Je suis
ment financier, des formations au reporting. « Ce fut un travail
également amenée à rencontrer le CFO une fois par mois. Depuis
énorme, mais très intéressant. Il nous a fallu cinq ans avant
peu, nous nous répartissons les zones à visiter. En moyenne, nous
que l’ensemble des procédures soit cohérent. Aujourd’hui, le
nous rendons un jour par mois dans chaque filiale. La communi-
processus de clôture comptable, la consolidation, le contrôle, le budget et les prévisions, nous prend environ deux jours par mois. Ce qui me prend le plus de temps, c’est d’assurer la coordination des équipes et de faire en sorte que chacun sache ce
« On ne donne pas n’importe quel accès à n’importe qui. » FINANCE MANAGEMENT - N°60 - MARS 2013
qu’il doit faire. Cela demande une excellente organisation et de très bons outils de communication. Il faut avoir des yeux et des oreilles partout. »
Avec des messages en provenance du Japon, de la direction en Allemagne, ainsi que des différents départements (sales, marketing, logistics, etc.), son équipe à la lourde tâche de rassembler toutes ces informations, pas toujours structurées, et de les répartir aux bonnes personnes. « J’ai l’avantage d’être dans l’entreprise depuis douze ans: je connais bien mes interlocuteurs. Mon équipe est assez stable depuis cinq ans, c’est une grande chance. Le désavantage est d’être associée à presque tous les mails du département. J’insiste toujours pour que le titre du mail soit parlant, c’est une discipline à instaurer. »
STRUCTURER L’INFO Valérie Amand a mis un point d’honneur à travailler avec l’IT afin de structurer les différentes sources d’informations. Lotus Note constitue l’outil central pour l’ensemble du groupe. « Les données y sont organisées en bases de données par département, spécifie-t-elle. Par exemple, pour la comptabilité, une section rassemble toutes les procédures et politiques à superviser. En cas de modifications, les informations changées sont mises en valeur dans le système et tous les collaborateurs en
Valérie Amand: « Nous faisons très attention au partage de l’information et aux accès donnés. On ne donne pas n’importe quel accès à n’importe qui. Chaque fonction est liée à des accès spécifiques. »
sont avisés par mail. Nous utilisons ce que j’appelle une ‘Bible financière’ commune à tous les collaborateurs en Europe. Tout
particulier nécessite une demande motivée. Cela peut en dé-
le monde est informé en même temps. La plateforme génère
courager certains, mais c’est comme ça que nous fonctionnons.
aussi des workflows avec approbation de projets ou d’achats. »
Notre culture d’entreprise s’articule autour de la recherche
Un volet gestion de projets facilite également le travail en
d’une sécurité maximale. Il y a quelques années, j’étais respon-
commun. Chaque projet peut être partagé à des interlocu-
sable IT et finance. Avec toutes les évolutions technologiques à
teurs clés dans l’organisation. « Une base Excel me permet aus-
intégrer et à suivre, ce n’est plus possible aujourd’hui. »
si de gérer des dashboards mensuels avec un scorecard et des objectifs que je mets à jour quotidiennement, ceux ci servent de
COLLABORATION IT
base à mes réunions hebdomadaires avec mon équipe. A mon
Valérie Amand ainsi que l’analyste financier sont aujourd’hui
sens, outils performants et réunions en face à face vont de pair.
les seuls à avoir accès à la totalité des données financières,
Il faut faire vivre les outils, leur mission reste de nous rendre
ce qui implique l’envoi de toute une série de rapports conso-
la vie plus facile. De la même façon que gérer une personne
lidés, notamment destinés à la direction au Japon. Ceux-ci
demande des chiffres et des mesures. Les RH doivent être mesu-
sont sécurisés par mot de passe. Une cellule spécialisée dans
rables et chiffrables. » Un ERP signé Oracle ainsi qu’une plate-
l’IT au sein du groupe collabore fréquemment avec la dizaine
forme liée à un datawarehouse Cognos sont également des
de collaborateurs IT basés à Bruxelles.
outils communs à l’ensemble du groupe, même si leur accès
« Nous prenons de nombreuses précautions en matière de
est limité à un nombre restreint de personnes.
sécurité, cela demande un département IT très solide et une
CENTRALISER LES DONNÉES
très bonne collaboration avec ce dernier. Notre procédure est assez stricte. Tous les ordinateurs sont encryptés et les fichiers
Toutes les informations financières sont centralisées dans le
envoyés nécessitent tous un mot de passe. A l’extérieur, tout le
département financier du siège de Bruxelles. « Nous avons
monde utilise un Token. Notre réseau interne est privé est tous
une visibilité sur toute l’Europe, révèle Valérie Amand. Chaque
les accès sont sécurisés », affirme-t-elle.
pays dispose d’une vue sur ses propres données nationales. Bien
Chaque nouveau collaborateur engagé suit une formation en
sûr, nous retravaillons ensuite les données pour réaliser des rap-
matière de sécurité. Chaque travailleur dispose, en outre, d’un
ports par pays, domaine d’activité, etc. Nous pouvons aussi tra-
code de conduite, qu’il a dû signer. « Le manuel reprend les
vailler à la demande sur certains thèmes. De manière générale,
procédures à respecter et la bonne utilisation de l’info. Tout est
nous faisons très attention au partage de l’information et aux
défini dans ce document, il est presqu’aussi fort qu’un contrat.
accès donnés. On ne donne pas n’importe quel accès à n’im-
A mes yeux, c’est un outil essentiel et qui formalise la culture
porte qui. Chaque fonction est liée à des accès spécifiques. »
d’entreprise. » Pour installer une stratégie d’amélioration dans
Côté en Bourse à Tokyo, Toshiba TEC entretient une culture de
la durée et repenser les processus, Valérie Amand rencontre le
la prudence, sans doute inspirée par son héritage japonais.
CIO du groupe environ une fois par mois. « Ces efforts ne sont
« On ne peut diffuser que ce qui a initialement été prévu. Mes
jamais acquis une fois pour toute. Il faut toujours aller plus vite
équipes ne peuvent rien envoyer sans mon accord. Tout envoi
et faire mieux », conclut-elle. FINANCE MANAGEMENT - N°60 - MARS 2013
9
DOSSIER FISCALITÉ TEXTE : FLORENCE THIBAUT
Il n’y a pas de protection globale en matière de capital informationnel 10
Au niveau juridique, que ce soit à l’échelle européenne ou nationale, il n’existe pas une seule loi qui encadre entièrement le patrimoine informationnel des entreprises. Plusieurs protections à combiner peuvent contribuer à protéger les éléments constitutifs de ce patrimoine. Différents projets de lois, notamment en France, entendent compenser ce flou juridique.
P
our Cathie-Rosalie Joly, avocate associée chez
cellaires. C’est, par exemple, le cas des marques, noms ou
Ulys, un cabinet spécialisé dans les nouvelles
brevets qui sont encadrés par la propriété intellectuelle. « Il
technologies et le droit intellectuel, le capital in-
n’existe pas encore de protection globale en matière de capital
formationnel d’une entreprise comprend toutes
informationnel, précise Cathie-Rosalie Joly. Parmi les protec-
les informations qui ont une valeur particulière pour l’entreprise:
tions spécifiques, on pourrait citer: la législation relative aux
fichiers clients, données commerciales, financières, scientifiques
intrusions non autorisées dans les systèmes d’informations, la
ou techniques, mais aussi idées, méthodes de gestion, réseaux
protection des droits d’auteur et des bases de données, les bre-
relationnels tissés ou savoir-faire. Certaines de ces données bé-
vets, marques, dessins et modèles, le secret professionnel, ou la
néficient d’une protection particulière, d’autres pas.
protection des données personnelles… S’accorder sur une seule définition commune à tous reste une vraie difficulté. On est
PROTECTION MORCELÉE
loin de l’unanimité. » D’autres éléments constitutifs du patri-
« La complexité tient au fait que la dématérialisation de l’éco-
moine informationnel sont plus difficilement quantifiables et
nomie et l’usage des nouvelles technologies rendent difficile la
donc difficilement protégeables en droit.
détermination des contours du patrimoine informationnel de
« En matière de sanctions, il existe certains recours selon les
l’entreprise qui, pourtant, se compose de l’ensemble de ses ac-
cas de figure. Par exemple, le piratage d’un système infor-
tifs immatériels, et qui est, bien souvent, facilement accessible
matique sera poursuivi pénalement. En France, on réfléchit
via le système d’information », explique-t-elle.
à mettre en place une sorte de ‘super sanction’ qui serait
Pour protéger certains de ces actifs immatériels, il existe
applicable lors de toute atteinte portée au patrimoine infor-
déjà plusieurs règles d’application, mais qui restent par-
mationnel. De manière générale, on assiste à une prise de
FINANCE MANAGEMENT - N°60 - MARS 2013
conscience de l’importance et de la valeur de ce patrimoine. Les entreprises ont déjà l’obligation de sécuriser leurs systèmes informatiques. » A l’échelle européenne, un projet de règlement qui modifierait la directive sur les données personnelles est actuellement à l’étude.
CRÉER UN CADRE Pour pallier ce flou législatif et renforcer la protection du patrimoine informationnel des organisations, la France a entamé une réflexion en la matière dès 2011, sur base d’une proposition de loi de Bernard Carayon. Déposé en première lecture le 22 novembre 2011 à l’Assemblée nationale, le projet n°3985 ambitionne de sanctionner la violation du secret des affaires. Son objectif est de créer un cadre de référence global. Le texte considère que toutes les informations sensibles et non publiques, quel que soit leur support, les procédés, objets, documents ou fichiers, ainsi que leur nature (commerciale, industrielle, financière, scientifique, technique ou stratégique) doivent pouvoir bénéficier d’une protection juridique. « La proposition de loi de Bernard Carayon choisit une définition très large de la notion ‘d’informations protégées relevant du secret des affaires d’une entreprise’, puisque cette notion
11
serait applicable dès lors que la divulgation d’une information non autorisée serait de nature à compromettre gravement les intérêts économiques de cette entreprise. L’idée est bien de protéger ce qui a une valeur économique pour l’organisation et qui ne peut être protégé autrement. La divulgation de ce type d’information serait, de plus, sanctionné pénalement », résume-t-elle. Le texte spécifie aussi que le fait de révéler à une personne non autorisée, sans autorisation de l’entreprise ou de son représentant, une information protégée relevant du secret des
Cathie-Rosalie Joly: « Il y a toute une série de précautions à prendre lors de la négociation et la rédaction d’un contrat cloud. Il faut travailler en amont, cartographier les risques et adapter la solution à ses besoins. »
affaires de l’entreprise en question, pour toute personne qui en est dépositaire ou qui a eu connaissance de cette informa-
par cas, notamment par le biais d’une charte ou d’un code de
tion et des mesures de protection qui l’entourent, sera puni
conduite. Cette nécessité d’adapter sa politique de sécurisation
d’une peine de trois ans d’emprisonnement et de 375.000 €
à ces nouveaux usages est bien intégrée. La plupart des entre-
d’amende. Ce projet de loi a été transmis au Sénat le 23 jan-
prises se rendent compte que l’information a une vraie valeur. »
vier 2012. Depuis lors, le projet a été mis entre parenthèses
De plus en plus de données sont dématérialisées, que ce soit
et attend une deuxième lecture. En Belgique, il n’existe pas
des contrats digitalisés ou des applications tournant sur le
encore d’initiative de ce type.
cloud, ce qui complexifie toute politique de sécurité. « En ayant recours au cloud computing, on accepte de passer
ENCADRER LA MOBILITÉ L’explosion des outils mobiles impose également de repenser les contours de son patrimoine immatériel. Tablettes et smartphones viennent changer la donne et nécessitent accompagnement et formations. « Les systèmes d’informations sont aujourd’hui envisagés de manière étendue. On tient désormais compte des outils mobiles et des nouveaux modes d’utilisation, poursuit Cathie-Rosalie Joly. En général, soit on intègre la mobilité au sein de l’entreprise avec un catalogue d’outils proposés, soit on autorise le ‘bring your own device’, qui peut tout à fait s’encadrer par des outils IT spécifiques. Il faut définir des bonnes pratiques et des règles de sécurité au cas
« La dématérialisation de l’économie et l’usage des nouvelles technologies rendent difficile la détermination des contours du patrimoine informationnel. » FINANCE MANAGEMENT - N°60 - MARS 2013
DOSSIER
la main à un tiers. En France, entre 2009 et 2012, on estime
données sensibles; on peut recourir aux règles sur les fuites
que le recours au cloud a doublé. Il commence à rentrer pro-
des données, sur le commerce électronique ou la protection
gressivement dans les mœurs, même si on ne se lance pas au
des consommateurs; se tourner vers les obligations de conser-
hasard. Il y a toute une série de précautions à prendre lors de
vation de documents comptables et fiscaux, ou encore vers
la négociation et la rédaction d’un contrat cloud. Il faut travail-
les obligations spécifiques de sécurité dans les secteur de la
ler en amont, cartographier les risques et adapter la solution à
santé, de la banque, etc. »
ses besoins. Je conseille toujours à mes clients de procéder par
En Belgique, plusieurs acteurs du secteur bancaire se sont
étapes: s’assurer d’un service de qualité, garantir la protection
exprimés de manière favorable, mais avec certaines réserves.
de ses données, déterminer la loi applicable au contrat, ainsi
La Banque Nationale Belge ne l’a pas interdit, mais fixe cer-
qu’anticiper la rupture et la récupération juridique. Différentes
taines conditions à respecter. Celle-ci envisage le cloud com-
questions doivent trouver une réponse fiable, notamment celle
puting comme une forme de sous-traitance et s’attend donc
de la réversibilité. Dans tous les cas, il faut accorder une atten-
à ce qu’il réponde aux principes de saine gestion, tels qu’ils
tion particulière au choix de son prestataire et anticiper les
sont décrits dans la Circulaire PPB 2004/5 en matière de sous-
problèmes qui pourraient subvenir. »
traitance par des établissements de crédit et des entreprises
DÉFINIR LE CLOUD
ment aux termes des circulaires, chaque sous-traitance peut,
Il n’existe pas encore de définition unanime sur que re-
en principe, sauf dispositions réglementaires contraires,
couvre le cloud computing, surtout qu’on mélange souvent
s’opérer sans son autorisation préalable. La Commission fi-
cloud privé, public ou hybride. « De nouveau, il n’existe pas
nancière, bancaire et des assurances, quant à elle, détermine
de législation propre au cloud, ce qui ne peut pas dire qu’il
aussi plusieurs principes phares à respecter, notamment la
n’y a pas de réglementation applicable, souligne Cathie-Ro-
définition d’une politique de sous-traitance, le maintien de la
salie Joly. Différents textes peuvent s’appliquer. En droit fran-
responsabilité, le maintien de la continuité, un audit interne
çais, on peut penser à la loi du 08 décembre 1992 sur la vie
ou encore le recours à une convention écrite.
d’investissement. Elle rappelle par ailleurs que, conformé-
12
privée, notamment pour ce qui concerne la conservation des
Can’t wait to be happy? Let us know via mail-post-tweet... laurence@happinessday.be jpe@happinessday.be #BEhappyday
DOSSIER FISCALITÉ TEXTE : FLORENCE THIBAUT
L’agrément PSF est un exemple à suivre Bien connu pour le succès de son secteur financier, le Luxembourg l’est aussi grâce à son catalogue d’agréments « Professionnel du secteur financier », auquel sont soumis certains prestataires de services sur son territoire. Attribué par le Ministre des Finances, ce statut est unique en son genre et permet notamment de garantir la sécurité des données.
C
13 réée par la loi du 23 décembre 1998, la CSSF est
financière au niveau international. A mes yeux, c’est un exemple à
l’autorité chargée de réguler la place financière, à
suivre. En 2004, le nombre de PSF se comptait sur les doigts de la
l’exception du secteur des assurances. Son champ
main, aujourd’hui, l’agrément PSF de support touche près de 9200
de compétences s’étoffe avec les années et s’étend
personnes », affirme Charles Mandica, directeur général de Ste-
de la surveillance des banques et PSF, aux fonds d’investissement
ria PSF et président de l’Association des PSF de support.
et à la supervision de la profession de l’audit en passant par la protection des consommateurs financiers. Avec une équipe de
SIGLE À ACQUÉRIR
quelque 450 collaborateurs, la CSSF affecte une partie de ses
De manière générale, la loi luxembourgeoise précise que cet agré-
agents à la surveillance permanente des PSF. En décembre 2012,
ment concerne « toute personne qui exerce à titre professionnel
près de 324 entreprises détenaient un agrément de PSF.
une activité au sein du secteur financier, de même que toute
« La notion de PSF existe déjà depuis la loi du 05 avril 93 relative
personne qui exerce à titre professionnel une activité connexe ou
au secteur financier, mais visait essentiellement les entreprises
complémentaire à une activité du secteur financier ». L’obtention
d’investissement. La loi du 13 juillet 2007 a débouché sur l’actuel
de l’agrément doit alors impérativement se faire avant d’exercer
catalogue des statuts, notamment pour répondre à la spécifica-
cette activité. En novembre, on comptait 114 entreprises d’inves-
tion accrue des activités financières », précise Danièle Berna-Ost,
tissement, 123 PSF spécialisées et 86 PSF de support, ces chiffres
secrétaire générale de la CSSF. L’agrément se compose à présent
étant en augmentation constante depuis plusieurs années.
de trois grandes catégories d’entreprises, chacune détenant des
« L’agrément PSF ne concerne pas uniquement les entreprises qui
droits et devoirs spécifiques: les entreprises d’investissement,
prestent des services financiers ou d’investissement, mais englobe
les PSF spécialisés et les PSF de support. « C’est un système
aussi d’autres activités connexes ou complémentaires à une ac-
unique qui contribue à faire reconnaître l’excellence de la place
tivité du secteur financier, comme cela peut être le cas pour les domiciliataires de sociétés. L’agrément PSF de support permet, quant à luis aux banques de recourir à des services d’outsourcing, ce qu’elles ne pouvaient pas faire avant pour des questions liées à
« Pour obtenir l’agrément, il faut souvent développer une autre logique et d’autres manières de travailler. »
la confidentialité de leurs données. Le cadre juridique créé autorise cette possibilité », spécifie Danièle Berna-Ost. Une entreprise ne peut demander le statut de PSF si l’activité qu’elle exerce ne le justifie pas. « Ce n’est pas un choix volontaire, l’activité doit le requérir. L’obtention de l’agrément soumet le PSF à des obligations importantes en matière d’organisation et de FINANCE MANAGEMENT - N°60 - MARS 2013
Danièle Berna-Ost: « Bien que les règles de base soient communes à tous les PSF, des exigences spéciales peuvent venir s’ajouter selon l’activité envisagée. Notre service IT vérifie la conformité à nos critères de l’ensemble de l’infrastructure informatique. »
Charles Mandica: « Il faut cartographier précisément les forces de la société et lister les points d’amélioration potentiels. Il s’agit d’un processus d’amélioration continue. »
contrôle internes et de reporting. Il faut bien réfléchir et veiller à
de conséquences. « L’obtention de l’agrément entraîne des efforts
ce que son activité soit intégrée dans sa stratégie et son business
continus, car elle déclenche la surveillance permanente de la CSSF
plan. Pour obtenir l’agrément, il faut souvent développer une
avec toutes les contraintes légales qui en découlent. »
autre logique et d’autres manières de travailler. Etre régulé signifie
14
avoir davantage de contraintes organisationnelles et l’obligation
PROTÉGER LE SECTEUR
de répondre rapidement aux questions de la Commission. »
Lors de l’instruction d’un dossier, le volet consacré à la sécurité
L’agrément est octroyé par le Ministre des Finances sur base
des données est examiné en détail, particulièrement dans le cas
d’un dossier d’agrément instruit par la CSSF. « Nous vérifions
des PSF de support. « Bien que les règles de base soient communes
les conditions légales, comme la qualité de l’actionnariat, l’or-
à tous les PSF, des exigences spéciales peuvent venir s’ajouter selon
ganisation administrative de l’entreprise, l’honorabilité de ses
l’activité envisagée. Notre service IT vérifie la conformité à nos cri-
dirigeants, la sécurité de ses systèmes informations… Quand
tères de l’ensemble de l’infrastructure informatique. C’est un sec-
nous considérons que le dossier est complet et qu’une gestion
teur en développement permanent, il faut sans cesse surveiller ce
saine et prudente de l’entreprise candidate est garantie, alors
qui se fait sur le marché », continue Danièle Berna-Ost.
l’entreprise peut formellement introduire sa demande auprès
La filiale luxembourgeoise du groupe Steria, spécialisé dans
du Ministre », poursuit Danièle Berna-Ost.
les services IT, a obtenu l’agrément PSF en 2004. « Notre motivation première était de nous mettre en conformité avec le
SURVEILLANCE CONTINUE
cadre légal, partage Charles Mandica. Nous avions été sélec-
Le contrôle des entreprises agréées se fait essentiellement
tionnés dans le cadre d’un gros contrat d’infogérence pour
sur base de trois piliers : l’examen d’informations périodiques
une banque de la place, nous étions tenu de l’obtenir par la
à remettre par les PSF qu’elles soient mensuelles, trimes-
loi. Nous avons eu la chance de bénéficier d’un soutien impor-
trielles ou annuelles, les contrôles sur place et l’analyse des
tant du groupe afin de créer une structure adéquate, détenir le
rapports et de l’appréciation fournis par les réviseurs d’entre-
capital nécessaire et mettre en place de nouveaux processus. »
prises et les auditeurs internes. « Les exigences en matière
Décidé en interne le 7 janvier, l’agrément PSF de support a
de reporting permettent à la CSSF de suivre les activités et la
été obtenu en mai de la même année. « Tout s’est fait très vite
vie sociale du PSF », soutient-elle encore. Tout au long de la
grâce à la volonté de toutes les parties prenantes. La CSSF n’est
surveillance exercée par la CSSF, les contacts sont nombreux
pas un contrôleur, mais un partenaire », témoigne-t-il.
entre l’organisation et le département PSF de la CSSF. « Il s’agit
Concrètement il s’agit pour l’entreprise de procéder à un état
d’établir un partenariat, une relation de confiance, qui s’inscrit
des lieux de ses méthodes de travail. « Il faut cartographier
dans la durée. Nous réalisons par ailleurs des visites d’accueil
précisément les forces de la société et lister les points d’amé-
et contrôles sur place afin de nous assurer que les conditions
lioration potentiels en matière de données sensibles, conclut
d’octroi de l’agrément et d’exercice des activités sont respectées
Charles Mandica. C’est un processus d’amélioration continue.
de façon permanente », souligne Danièle Berna-Ost.
L’avantage pour les clients d’une PSF de support est avant tout
L’agrément est délivré pour une durée illimitée, mais peut être
d’être en contact avec une gouvernance forte et une transpa-
retiré à l’entreprise si elle n’a pas exercé d’activités qui le justifie
rence qui a fait ses preuves. L’agrément nécessite beaucoup de
pendant 12 mois. Pour la secrétaire générale de la CSSF, ce sta-
travail en amont, une fois les processus établis, ils sont intégrés
tut peut avoir des avantages pour l’entreprise, mais reste lourd
à la culture d’entreprise. »
FINANCE MANAGEMENT - N°60 - MARS 2013
Finance Management vous livre, chaque mois, un état des lieux, des témoignages, des conseils, un partage de bonnes pratiques sur des dossiers clés pour votre gestion financière.
N° 45 - Mars 2011 Immobilier & Facility Management
N° 46 - Avril 2011 Les meilleurs conseils des banquiers
N° 47 - Mai 2011 Reporting
N° 48 - Juin 2011 Business Intelligence
N° 49 - Septembre 2011 DAF en PME
15 N° 50 - Octobre 2011 Les partenaires du CFO
N° 51 - Novembre 2011 Finance & HR
N° 52 - Décembre 2011 « Glocal » CFO
N° 53 - Février 2012 Compliance
N° 54 - Mars 2012 Finance & IT
N° 55 - Avril 2012 Secteur public
N° 56 - Mai 2012 Reinventing Finance
N° 57 - Juin/Juillet 2012 Leadership in Finance
N° 58 - Septembre 2012 Banques & Assurances
N° 59 - Janvier 2013 Cash Management
Finance Management une publication périodique destinée aux responsables financiers et autres professionnels du secteur financier des entreprises de Belgique et du Grand-Duché de Luxembourg. Elle s’adresse également aux dirigeants d’entreprises soucieux d’optimiser la gestion financière de leur société ainsi qu’aux étudiants. Finance Management – Edité par MRH SPRL 7, Rue du Bosquet – 1400 Nivelles http:// www.financemanagement.be
Rédacteur en chef : Christophe Lo Giudice (redaction@financemanagement.be)
Direction générale, marketing et partenariats : Jean-Paul Erhard (jpe@financemanagement.be)
Comité de rédaction: Bruno Colmant (Roland Berger Strategy Consultants, Chargé de cours invité à l'UCL et à la Vlerick Leuven Gent Management School), Charles Delloye (Alethea), Denis Dubru (Vice-President Finance, Belgium and Shared Services, GSK Biologicals), Frédéric Mailleux (Directeur Financier-GFA, Ets. Ronveaux), Chris Vroman (HR, Legal et Tax Director chez Ineos), Joël Poilvache (Regional Manager, Robert Half International)
Régie publicitaire: Jean-Paul Erhard (jpe@financemanagement.be)
Equipe rédactionnelle : Christophe Lo Giudice, Florence Thibaut
Abonnements: info@financemanagement.be Tél: 067/ 34.11.59 - fax: 067/ 34.11.60 Editeur responsable : Jean-Paul Erhard 7, Rue du Bosquet – 1400 Nivelles
Design & développement graphique : FINANCE MANAGEMENT - N°60 - MARS 2013 Alain Verstappen, Renato Baio (graphicteam@financemanagement.be)