Les informations confidentielles moins protégées dans les jeunes entreprises
De mauvaises pratiques de gestion de l’information surexposent les jeunes pousses à des risques
Les entreprises de moins de cinq ans ont deux fois plus de risques de compromettre la confidentialité d’informations sensibles que leurs aînées plus établies. C’est l’une des conclusions d’une étude récente sur les pratiques de sécurité et de gestion de l’information des PME commandée par le spécialiste des services de conservation et de gestion de l’information, Iron Mountain.
Les employés des jeunes entreprises plus négligeants vis à vis des données sensibles
Cette étude en profondeur des PME en Europe et en Amérique du Nord a permis de démontrer que les membres du personnel des très jeunes entreprises tendent à faire preuve de négligence vis-à-vis des données sensibles internes qu’ils exposent à des risques. Près de la moitié (48%) des sondés admettent avoir laissé des documents sensibles à la vue de tous dans un bureau, les avoir traités négligemment ou même les avoir oubliés ou égarés dans un lieu public. C’est deux fois plus que dans les sociétés plus établies, où moins d’un salarié sur quatre (23%) reconnaît de telles négligences de gestion de l’information.
Les jeunes entreprises moins au fait des délais légaux de conservation des documents
Les plus jeunes entreprises sont beaucoup moins au fait des délais légaux de conservation des documents, déclarations fiscales, contrats et données de clients, et s’exposent ainsi davantage aux risques pour la sécurité de l’information. Plus de la moitié (51%) des professionnels travaillant dans des entreprises de cinq ans maximum reconnaissent qu’ils ont pu conserver des dossiers sensibles relatifs aux ressources humaines au-delà des dates limites de rétention, exposant ainsi leur société à un possible préjudice pour sa réputation et à des sanctions imposées par les autorités réglementaires. 20% seulement des professionnels sont concernés dans les entreprises ayant plus de 25 ans d’activité.
Et moins disposées à appliquer des procédures de protection des données
Pourtant, les jeunes sociétés font peu pour redresser la situation, privilégiant l’expansion à de nouveaux marchés (80%) ou le développement de produits (54%). La plupart (76%) n’envisagent, d’ailleurs, aucun plan d’automatisation de leurs principaux processus de gestion de l’information, comme ceux des RH. Elles sont aussi moins disposées que leurs aînées à vouloir administrer leurs procédures de protection des données ou extraire de la valeur de leurs informations. Interrogés sur leurs processus de mise en conformité des pratiques de manipulation des données, un tiers seulement (32%) des sondés dans les entreprises de moins de cinq ans estime que les processus en place sont « adaptés et faciles à rendre conformes ». A titre de comparaison, c’est le cas pour 46% des sondés dans les entreprises de 25 ans et plus. De même, un peu plus d’un quart (28%) des salariés des plus jeunes sociétés reconnaît disposer de processus efficaces permettant de savoir systématiquement où se trouvent les informations les plus utiles, contre deux tiers (40%) des sondés dans les entreprises plus anciennes.
Arnaud Revert, Président-Directeur Général d’Iron Mountain France, déclare : « Les cinq premières années de la vie d’une entreprise sont souvent consacrées à stimuler la croissance rapide de ses ventes et à asseoir son positionnement sur le marché. La phase de démarrage est très intense, il est donc compréhensible que ce soit surtout à ce stade que se produisent les erreurs de gestion de l’information. Mais que vous soyez une jeune entreprise ou une société plus établie, la loi est la même pour tous. L’obligation de protéger les informations confidentielles n’est pas négociable. Si les jeunes structures ne corrigent pas les mauvaises habitudes de traitement des données et qu’elles ne mettent pas en place des processus efficaces, elles s’exposent à de lourdes conséquences légales et à des préjudices de réputation risquant de dégrader la confiance des clients et de menacer jusqu’à la survie de l’activité. »
Une précédente étude d’Iron Mountain et de PWC[i] suggère que la prise de conscience vis-à-vis de l’importance de l’information intervient dans bon nombre d’entreprises de taille moyenne au moment où les produits ou services liés au lancement de la société approchent de leur fin de vie, soit généralement au bout de cinq à sept ans.[ii] Plus d’un tiers (38%) des sondés dans les plus jeunes entreprises avait reconnu ignorer comment l’information circule dans l’entreprise, contre 22% dans les entreprises de plus de six ans. Pour tendre vers une plus grande maturité de gestion et de valorisation de l’information, les jeunes entreprises doivent mettre en place dès le début, des processus efficaces de gestion de l’information, qui pourront s’inscrire dans la culture de la société au gré de son développement
[i] Iron Mountain et PwC ont interrogé 1 800 dirigeants d’entreprise de nombreux secteurs (énergie, services financiers, services juridiques, fabrication et ingénierie, santé (USA uniquement), assurances, laboratoires pharmaceutiques), en Amérique du Nord (USA et Canada) et dans cinq pays européens (France, Allemagne, Espagne, Pays-Bas et Royaume-Uni).
[ii] https://library.e.abb.com/public/a046973f29f765b0c1257c210039f2fb/3ADR025047K0201.pdf et https://beyondplm.com/2012/12/31/plm-2013-what-is-your-7-years-plan/