skip to content

Vol de données - lorsque d'anciens employés prennent des informations stratégiques sans autorisation

Nicolas Verlhiac : photo de l'auteur de l'article
Nicolas Verlhiac
Découvrez les risques liés au vol de données par des anciens employés et comment vous protéger contre ces attaques.

Les cyberattaques de l’extérieur contre les entreprises sont toujours au centre de l’attention. Mais on oublie parfois que, statistiquement, une entreprise sur deux est victime d’un vol de données en son sein - ce qui est non seulement préjudiciable aux affaires, mais peut rapidement devenir une violation de la protection des données si des données personnelles sensibles sont affectées par le vol.

Les acteurs du vol de données sont souvent des employés, notamment d’anciens employés, qui emportent avec eux les données de leur ancien employeur lorsqu’ils le quittent. Dans le cadre du débauchage d’employés, il est de plus en plus fréquent que les connaissances de l’entreprise ou les données relatives aux clients soient transmises à la concurrence. Environ 21 % des entreprises interrogées déclarent qu’un employé qui part a déjà transmis des informations importantes à son nouvel employeur (cf: étude de l’agence de détectives Lentz).

Afin de protéger non seulement des données importantes, mais aussi le débauchage ciblé d’employés spécialisés, de nombreux employeurs tentent de se protéger par des clauses de non-concurrence post-contractuelles dans les contrats de travail. Même s’il est généralement évident de savoir qui est le coupable, les preuves dans le cas d’une violation d’un accord de non-concurrence post-contractuel sont plutôt complexes.

Est-il possible de se protéger contre le vol de données par les employés ? Et si oui, quel est le meilleur moyen de lutter contre le vol de données dans l’entreprise ?

Un scénario récurrent : un employé en départ vole des données

Ces scènes sont familières, car elles se déroulent de la même manière ou de manière similaire dans les entreprises tous les jours : un employé quitte l’entreprise (licenciement, démission, rupture conventionnelle) et passe chez la concurrence. Cependant, il / elle n’y arrive pas les mains vides. Parce qu’il / elle a précédemment siphonné de précieuses données internes de son ancien employeur.

On distingue alors 3 facteurs de risques dans le cas d’un licenciement ou d’un départ volontaire :

  • La présence d’un conflit lors du départ
  • La capacité du salarié à accéder ou à détenir de l’information stratégique
  • Le niveau hiérarchique de l’employé concerné, qui plus est quand celui-ci est cadre ou encore dirigeant.

Le cas de l’espionnage industriel concurrentiel

Quand on aborde le sujet de l’espionnage industriel, on a en tête l’espionnage fourni par les services de renseignement étrangers pour protéger les États d’une infériorité technologique spontanée. Mais une forme beaucoup plus fréquente est l’espionnage dit concurrentiel. Ici, les informations ne sont pas exploitées par un service de renseignement, mais par des acteurs travaillant pour des entreprises concurrentes.

L’une des façons les plus simples d’obtenir des informations d’une entreprise est de les demander à ses employés. Malgré les obligations en matière de protection des données et de secret, nombreux sont ceux qui n’en connaissent pas l’importance ou qui la sous-estiment. En effet, des traits humains tels que la serviabilité, le respect et la crainte de l’autorité ou la soif de reconnaissance peuvent souvent être utilisés contre les intérêts d’une entreprise.

La technique la plus courante est le débauchage de salariés afin de récupérer la connaissance, mais aussi les informations stratégiques de l’ancienne entreprise. Et c’est encore plus une réussite quand l’employé arrive avec des informations stratégiques confidentielles (données comptables, fournisseurs, fichiers clients, etc.).

4 clés : l’argent, l’idéologie, la compromission et l’égo.

Il arrive aussi que certains informateurs ne soient pas conscients qu’ils répondent aux besoins d’information de la concurrence dans des conversations apparemment informelles.

Dès que le vol de données est détecté, un processus difficile d’acceptation de la situation commence dans l’entreprise concernée : pouvons-nous légalement poursuivre le ou les auteurs ? Aurions-nous pu l’empêcher ?

Détection et prévention des risques de vol de données

La première étape dans l’entreprise devrait être de prendre conscience du danger que représente le vol de données par les (anciens) employés et les employées (licenciées). En collaboration avec votre responsable de la protection des données, les mesures techniques appropriées pour l’entreprise peuvent être étudiées et introduites. En particulier, le département informatique devrait être fortement impliqué dans ce domaine.

Cette partie du sujet a déjà était traité plus en profondeur dans cet article : Comment bien protéger ses données clients ?

Prévention du vol de données par les employés

Certains comportements et routines dans l’informatique encouragent grandement le vol de données par les employés. Il s’agit, par exemple, de :

  • des accès beaucoup trop étendus au système d’information : le commercial qui a un accès administrateur au CRM, car « c’est plus simple pour accéder aux outils de statistiques»;
  • l’utilisation accrue des appareils mobiles, qui peuvent également accéder à des données très sensibles et les stocker;
  • ne pas chiffrer les données en transit, au repos et en utilisation;
  • l’utilisation occasionnelle de mots de passe;
  • identifiants d’accès partagés entre plusieurs personnes.

Très souvent, ces comportements dangereux sont justifiés par une plus grande simplicité de travail en équipe et d’accès aux ressources. Mais à quel prix ?

Cependant, l’informatique moderne offre un certain nombre de possibilités pour protéger les données sensibles de l’entreprise contre l’accès par des employés malveillants. Notamment avec l’introduction de cartes d’autorisation d’accès, le chiffrement des supports de stockage, le chiffrement des données se déplaçant sur le réseau, la journalisation des exports/extracts de données. Mais aussi avec la mise en place d’adresse e-mail pièges dans les fichiers clients, permettant de connaitre l’utilisation en temps réel des données clients de l’entreprise.

Les employés infidèles sont plus dangereux que les pirates informatiques

Mais même si les dispositifs techniques et contractuels sont irréprochables, l’entreprise n’est toujours pas entièrement protégée contre ses propres employés. Statistiquement, les secrets d’entreprise sont davantage divulgués à des concurrents curieux par des employés débauchés que par des attaques de pirates informatiques. Souvent, seule la baisse du nombre de commandes ou des pertes de chiffre d’affaires permet de soupçonner que des données sensibles ont été transmises à la concurrence.

Le débauchage des employés ne peut malheureusement pas être empêché. C’est pourquoi il est souvent conseillé de veiller à une atmosphère de travail saine et de garder un œil sur les profils de réseau de ses meilleurs éléments.

Action en justice contre le voleur de données : quelle est la sanction pour le vol de données ?

Les poursuites judiciaires à l’encontre d’anciens employés sont généralement difficiles. D’une part, cela est dû au fait que le vol de données est souvent découvert à un stade tardif, quand celui-ci est découvert, ce qui n’est malheureusement pas toujours le cas).

Comme nous l’avons vu, des signaux peuvent alerter, par exemple, lorsque la baisse difficilement explicable du nombre de commandes et la diminution des ventes font soupçonner qu’une personne possède des données auxquelles elle n’a pas droit. Après une période plus longue, il n’est souvent plus possible de fournir des preuves du vol de données.

Bien que le voleur de données puisse avoir commis une infraction pénale et que, si les preuves sont claires, une action civile en dommages et intérêts puisse être intentée, il faut alors pouvoir prouver réellement l’infraction. Il faudrait que la personne qui vole les données soit prise en flagrant délit de vol de données dans l’entreprise pour que les preuves soient claires. Même les clauses de non-concurrence post-contractuelle préventive incluse dans le contrat de travail ne sont pas toujours efficaces, par exemple en cas de paiement non convenu d’une indemnité d’attente par l’employeur.

Sanctions pénales en cas de flagrant délit de vol de données

Le fait de voler les données de son entreprise est constitutif de plusieurs délits pénaux. On peut alors formuler trois hypothèses :

  • Hypothèse du salarié qui s’est vu remettre des données clients dans le cadre de son contrat de travail et qui les détourne (en les revendant à un tiers), est l’abus de confiance : délit puni de trois ans d’emprisonnement et 375 000 euros d’amende (art. 314-1 du Code pénal).
  • Hypothèse où le salarié se rend coupable d’escroquerie ou de complicité d’escroquerie en fournissant des informations à un tiers permettant à ce dernier de détourner les mesures de protection ou de sécurité pour se procurer les données ou un autre avantage au préjudice de l’entreprise : délit puni de cinq ans d’emprisonnement et 375 000 euros d’amende (art. 313-1 du Code pénal).
  • Hypothèse où le salarié a obtenu les données confidentielles via le système informatique de son employeur, il se rend alors coupable d’atteinte à un système de traitement automatisé de données : délit puni jusqu’à cinq ans d’emprisonnement et 75 000 euros d’amende (art. 323-1 et suivants du Code pénal).

Aller plus loin et se protéger contre le vol de données par les employés

Les (ex-)employés malveillants profitent souvent de la négligence interne correspondante. Il est vrai qu’une gestion actualisée et efficace de la protection des données ne rend pas totalement impossible l’appropriation non autorisée des données et des mots de passe de l’entreprise. Cependant, il est plus difficile pour l’auteur potentiel de fournir à la concurrence les données de l’entreprise, car il doit avoir une grande crainte d’être pris sur le fait en raison des mécanismes de contrôle accrus.

Vous pouvez continuer à approfondir cette partie du sujet en lisant nos 7 conseils pour éviter le vol des données par des employés.