Guide de Conduite éthique des Affaires Guide de … · réflexion sur les enjeux éthiques liés à une gestion ... CHoruS 87207345GoGrpfr01 création octobre 2013 la classification

Guide de Conduite éthique des Affaires

Guide de bonnes pratiques en matière de gestion de l’information

www.thalesgroup.com

Thales - Guide de bonnes pratiques en matière de gestion de l’information

Sommaire

Préface ......................................................3

Diffuser et Protéger l’information ......5

La classification Thales ........................................... 7

s’informer et collecter l’information ............................................9

Boîte à outils ..........................................12

Le cadre juridique ................................................ 12

En France ....................................................... 12

Aux Etats-Unis ................................................. 13

En Allemagne .................................................. 13

Au Royaume-Uni .............................................. 13

Aux Pays-Bas .................................................. 14 En Italie .......................................................... 14

Les bonnes pratiques ........................................... 15

aller Plus loin .......................................17

contact ....................................................19

3

Thales - Guide de bonnes pratiques en matière de gestion de l’information Réf. ChORUs – 87207345-GOV-GRP-fR-01 – création octobre 2013

Préface

« De multiples réglementations et procédures internes

encadrent l’information que le Groupe est conduit à

traiter.

Toutefois, au-delà des process et des outils, la gestion

de l’information est d’abord affaire de comportements

responsables de la part de chacun des collaborateurs

de Thales : la maîtrise et le traitement de l’information

sont en effet au cœur des métiers et de la performance

du Groupe.

L’objet de ce Guide de Conduite est ainsi de rappeler

quelques règles simples mais surtout d’inviter à une

réflexion sur les enjeux éthiques liés à une gestion

responsable de l’information. »

Dominique lamoureux, Directeur Ethique

et Responsabilité d’Entreprise

Le présent guide a été conçu par la Direction Ethique et Responsabilité d’Entreprise en collaboration avec les Directions Communication, Intelligence Economique, Ressources Humaines, Sûreté et Systèmes d’Information du Groupe.


Si la maîtrise de l’information est au cœur des métiers de Thales, la gestion de cette même information est un enjeu stratégique pour le Groupe. Dans un environnement de plus en plus mobile, interconnecté et interdépendant, elle contribue à la qualité des prises de décisions et aux succès de l’entreprise.

Afin d’optimiser ses choix et de réaliser ses objectifs, chaque collaborateur a besoin, pour agir, d’une information transparente, complète et hiérarchisée qui, in fine, participe à l’élaboration d’une véritable intelligence collective, levier essentiel de la pérennité et du développement de Thales.

Dans le cadre de ses activités, chacun des collaborateurs du Groupe est en permanence conduit à gérer de l’information, omniprésente dans son environnement de travail, quel qu’en soit le support : matériel (document papier, CD-ROM, clé USB…) ou immatériel (lorsque l’information est échangée, traitée et stockée par un système électronique).

Le but du présent guide est d’accompagner chaque collaborateur dans sa gestion de l’information pour que celle-ci s’opère dans le respect des exigences légales et éthiques auxquelles le Groupe se conforme. Sans fixer de règles de conduite à suivre en toutes circonstances, il a vocation à être utilisé par chaque personne amenée à gérer de l’information.

5


5

Un collaborateur ne possède souvent qu’une connaissance partielle de l’information, limitée à son environnement de travail immédiat et/ou aux domaines spécifiquement couverts par son activité.

Or, si l’information en sa possession a une valeur intrinsèque, c’est surtout par son échange et sa transmission que cette valeur se développe. Mises en commun, ces informations aident à la prise de décision. De ce fait, elles contribuent à la création d’une véritable intelligence collective, levier essentiel de la pérennité et du développement de Thales.

Le partage de l’information, en cohérence avec les principes du Code d’Ethique, s’inscrit ainsi dans une démarche collaborative où les savoirs de chacun sont valorisés au profit de la connaissance du Groupe.

Il est cependant indispensable de savoir diffuser l’information avec discernement, notamment en sachant évaluer son degré de sensibilité.

DIf

fuSer

eT

pr

oTé

Ger


Les informations classifiées en france

Du fait des activités de Thales sur des marchés critiques comme la défense et la sécurité, certains collaborateurs habilités traitent des informations « classifiées » (au sens des articles R2311-2 et R2311-3 du Code de la défense). Il s’agit d’informations de nature politique, militaire, diplomatique, scientifique, économique ou encore industrielle, dont la divulgation représente un risque majeur d’atteinte à la défense et à la sécurité nationale (1).

De par leur caractère extrêmement sensible, ces informations bénéficient d’un niveau de protection juridique et matérielle très élevé, depuis leur élaboration jusqu’à leur destruction.

Leur accès et leur diffusion sont strictement restreints pour des raisons de sécurité

Toute atteinte à leur protection est sévèrement sanctionnée selon les dispositions des articles 413-10 et 413-11 du Code pénal.

le traitement des informations classifiées peut être soumis à des réglementations différentes selon les pays. Pour les connaître, chaque collaborateur est invité à se renseigner auprès de son responsable sûreté Pays / unité et à s’y conformer.

En dehors des informations soumises à réglementation, certaines informations représentent des atouts concurrentiels pour Thales, qu’elles soient à usage interne (ex. plan stratégique), en rapport avec la propriété industrielle du Groupe (ex. brevets, savoir- faire, licences etc.) ou encore des secrets d’affaires.

Au même titre que les actifs corporels « classiques », ces informations sont la propriété de Thales et contribuent à l’accroissement du patrimoine immatériel du Groupe.

elles doivent donc être protégées.

(1) Instruction générale interministérielle sur la protection du secret de la défense nationale : Référence Légifrance JORFTEXT000024892134

6D

Iffu

Ser

eT

pr

oTé

Ger

http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000024892134&fastPos=1&fastReqId=275001272&categorieLien=cid&oldAction=rechTexte

7


la classification thalesDans le cadre de ses fonctions, chaque collaborateur est conduit à diffuser de l’information, aussi bien en interne qu’en externe. Afin d’en mesurer le niveau de protection adéquat, Thales a défini la politique générale de protection des informations internes au Groupe dans une instruction mise à disposition de tous sur Chorus 2.0. Applicable à toutes les informations internes au Groupe quel qu’en soit le support (courriels, mémos, comptes rendus de réunion, notes d’équipe, CD Rom, clé USB, etc.), elle les classifie en quatre niveaux, en fonction de leur sensibilité :

open Information non sensible, libre d’accès interne ou externe Groupe.

thales group internal Information non sensible et non publique, ne devant être diffusée qu’aux personnes ayant le besoin d’en connaître. Cette information, dont la diffusion est essentiellement destinée à l’usage interne, peut également être diffusée en dehors du Groupe à toute personne ayant besoin de cette information dans le cadre de ses relations avec le Groupe.

thales group confidential Information sensible dont la divulgation non contrôlée est de nature à compromettre de façon significative le déroulement normal d’un projet, causer un préjudice significatif pour le Groupe. Cette information n’est commu nicable qu’aux personnes ayant le besoin d’en connaître dans le cadre de leurs activités, selon les principes évoqués ci-dessus.

thales group secret Information dont le caractère sensible est tel que son éventuelle divulgation peut compromettre la réussite d’un projet vital et/ou porter un grave préjudice au Groupe (en terme financier, d’image, de stratégie, de techno logie, etc.). Cette information n’est communicable qu’aux personnes formellement autorisées par l’auteur.

DIf

fuSer

eT

pr

oTé

Ger

7


DIf

fuSer

eT

pr

oTé

Ger

8

Pour en savoir plus :

Instruction « Protection des Informations Groupe », Référence Chorus 87201725-GOV-GRP

Si, dans certains cas, cette typologie se révèle insuffisante, il appartient alors au collaborateur d’analyser le degré de sensibilité de l’information qu’il détient et d’agir en conséquence :

en fonction de la nature du document,

et/ou du besoin d’en connaître de son destinataire.

Certaines informations en apparence « anodines » peuvent en effet avoir une importance stratégique une fois exploitées dans un autre contexte ou reliées à d’autres données.

Dans tous les cas, le détenteur d’une information est responsable de sa protection et de sa diffusion, aussi bien en interne qu’en externe.

A ce titre, une vigilance particulière est à observer quant aux informations mises en ligne sur les réseaux sociaux. Bien qu’a priori isolées du contexte professionnel, ces informations peuvent s’avérer préjudiciables pour le collaborateur, ceux qui l’entourent ainsi que pour le Groupe.

Chaque collaborateur est donc invité à ne pas divulguer d’informations en lien avec les activités de Thales sur l’un de ces réseaux.

en cas de doute : demander conseil à son responsable hiérarchique ou, suivant la teneur de l’information, à la Direction compétente (sûreté, Juridique, communication…) de son unité.

http://chorus2-mod.corp.thales/modulo/webservice?database=chorus2p&servicename=fileget&number=GRP/ORGA/01052



L’acquisition d’informations est inhérente aux activités du Groupe et il est indispensable qu’elle s’effectue dans le respect du cadre légal et des règles de bonne conduite auxquelles Thales se conforme.

L’information peut être obtenue par des canaux légaux tels que les outils de veille, la prise de notes, les plaquettes, les rencontres lors de salons, les conférences, les sites internet, les bases de données gratuites ou payantes, etc.

L’intelligence économique Elle a pour objectif l’anticipation et l’aide à la décision, en regroupant les activités de collecte, d’analyse, de diffusion et de protection de l’information stratégique.

Au sein de Thales, l’intelligence économique occupe une place clé : elle permet une meilleure compréhension des marchés et des attentes de ses clients, ainsi qu’une connaissance approfondie de la concurrence et des enjeux économiques auxquels le Groupe est confronté.

Au cœur de la compétitivité de l’entreprise, l’intelligence économique aide Thales à mieux maîtriser son environnement.

9

S’In

for

mer

eT

Co

LLeC

Ter

L’In

for

mATI

on


En revanche, Thales n’admet aucune tolérance au regard d’actions visant à acquérir frauduleusement de l’information, telles que le vol ou le piratage.

Ces actes engagent formellement la responsabilité de Thales. Ils sont strictement sanctionnés dans les pays où le Groupe opère.

De surcroît, ils nuiraient gravement à l’image du Groupe.

Les pirates informatiques sont des personnes qui contournent les protections d’un logiciel, d’un ordinateur ou d’un réseau informatique à des fins malveillantes, par exemple le vol d’informations confidentielles. En plus d’être formellement interdit par les législations des pays dans lesquels Thales opère, le piratage informatique est en totale contradiction avec les principes éthiques défendus par le Groupe. Thales n’applique aucune tolérance vis-à-vis de toute initiative visant à collecter de l’information par ce biais.

Dans l’hypothèse où un collaborateur entrerait en possession d’information de manière fortuite (par exemple : dossier d’appel d’offres oublié dans un train ou un avion, conversation informelle entre concurrents, documents ajoutés accidentellement dans les affaires d’un collaborateur etc.), celui-ci est invité à :

ne pas utiliser ces informations.

Dans la mesure du possible, les restituer à leur propriétaire légitime.

Sinon, les détruire.

porter l’incident à la connaissance de son responsable hiérarchique ainsi qu’à son responsable Sûreté.

10S’In

for

mer

eT

Co

LLeC

Ter

L’In

for

mATI

on

11


Les Global principles of Business ethics for the Aerospace and Defence IndustryNés d’un accord signé en 2009 par les associations des industries aéronautique et de défense euro-péennes (ASD) et américaines (AIA), ces principes définissent des codes de conduite en matière d’éthique du commerce auxquels les entreprises du secteur ont adhéré.

L’un des principes porte sur le respect de la confidentialité de l’information.

Il est stipulé qu’une entreprise ne doit ni solliciter, ni accepter d’informations confidentielles concernant un tiers. De même, en cas de réception d’informations confidentielles sur un tiers, transmises sans son autorisation, l’entreprise doit cesser immédiatement la diffusion et l’examen de ces informations, les détruire ou les renvoyer immédiatement en informant le tiers concerné de cet incident et de la conduite adoptée.

en tant qu’initiateur des Global principles, Thales s’est engagé à adopter une démarche responsable en les mettant en œuvre, et à respecter ainsi la confidentialité des informations,

Thales compte sur chacun de ses collaborateurs pour que cet engagement soit respecté.

en cas de doute, il est essentiel de demander conseil à son responsable hiérarchique ou, suivant la teneur de l’information, à la Direction compétente (sûreté, Juridique, communication…) de son unité.

11

S’In

for

mer

eT

Co

LLeC

Ter

L’In

for

mATI

on


le cadre juridique

les règles françaises

En France, la protection de l’information n’est pas assurée par une loi spécifique mais fondée sur un ensemble de régimes juridiques différents (responsabilité civile, responsabilité pénale ou encore concurrence déloyale).

Le vol est incriminé par les articles 311-1 et suivants du Code pénal. Son auteur encourt jusqu’à 3 ans d’emprisonnement et 45.000 € d’amende. L’information, en particulier, peut être assimilée à une chose volée lorsque c’est son support qui a été soustrait ou copié frauduleusement.

De même, le piratage est interdit par les articles 323-1 et suivants du Code pénal. L’article 323-3-1 punit ainsi « le fait, sans motif légitime, d’importer, de détenir, d’offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre [un acte de piratage].»

Bo

îTe à

ou

TILS

12

13


Bo

îTe à

ou

TILS

13

les règles américaines

Aux Etats-Unis, le vol des secrets commerciaux est une infraction pénale fédérale, incriminée par les paragraphes 1832 et suivants du Titre 18 du US Code. L’auteur encourt une amende et jusqu’à 10 ans de prison si c’est une personne physique, jusqu’à 5.000.000 $ d’amende si c’est une personne morale. Par ailleurs, le Economic Espionage Act ou Cohen Act (1996), récemment complété par le Theft of Trade Secrets Clarification Act (2012) viennent étendre le champ d’interprétation du secret des affaires.

les règles allemandes

Les informations confidentielles des entreprises bénéficient en Allemagne d’une importante protection depuis le German Unfair Competition Act de 2004. La divulgation et le vol des secrets commerciaux ou industriels, et des documents ou des instructions de nature technique, sont pénalisés par le Chapitre 4. Ces dispositions sont aussi le fondement d’une responsabilité civile de l’auteur.

les règles britanniques

Il n’existe pas de loi spécifique à la protection de l’information, si ce n’est les règles d’équité et plus particulièrement le principe de « rupture de confiance » qui sanctionne l’obtention frauduleuse d’informations confidentielles et engage la responsabilité civile voire pénale de son auteur.


les règles néerlandaisesAux Pays-Bas, la protection des informations confidentielles et du secret des affaires est assurée par les articles 272 et 273 du Code pénal. Ces textes viennent sanctionner les actes visant à acquérir frauduleusement de l’information. Leur auteur encourt de 6 à 12 mois de prison ainsi qu’une amende pouvant atteindre 11.250 €.

Par ailleurs, bien qu’il n’existe pas de loi spécifique sur le plan civil, la jurisprudence a étendu le droit commun de la responsabilité à l’atteinte au secret des affaires. Enfin, des dommages et intérêts ainsi qu’une ordonnance portant interdiction d’usage afin de faire cesser le préjudice peuvent être obtenus sur le fondement de la concurrence déloyale.

les règles italiennes En Italie, il n’existe pas de législation spécifique venant encadrer la protection des informations confidentielles. Cette protection est cependant assurée par diverses mesures issues du Code de propriété intellectuelle et du Code de procédure civile. Celles-ci permettent entre autres le versement de dommages et intérêts, la mise en place de mesures provisoires d’interdiction, de mesures conservatoires et d’ordonnances temporaires. Par ailleurs, des poursuites pénales peuvent être engagées si la violation est caractérisée par une activité frauduleuse (vol, piratage etc.)

autres réglementations

Ces règles peuvent différer selon le pays. pour les connaître, il est recommandé au collaborateur de se renseigner auprès de son responsable Sûreté pays/unité et de s’y conformer.

Bo

îTe à

ou

TILS

14


les bonnes pratiques

Sans constituer une liste exhaustive, ci-dessous, un rappel de bonnes pratiques à observer pour optimiser le traitement de l’information. Elles ont pour vocation d’accompagner chaque collaborateur dans sa gestion quotidienne de l’information.

marquer les documents et les fichiers

Préalablement à tout échange ou partage, chaque fichier est marqué par le système de marquage approprié en fonction du caractère sensible des informations qu’il contient et de l’application (bureautique, collaboratif etc.).

maîtriser l’usage des technologies de l’information

Dans sa gestion de l’information, chaque collaborateur devra s’assurer qu’il utilise des moyens (matériels, logiciels, systèmes d’information ou applications) délivrés et/ou dûment agréés par Thales et qualifiés pour traiter le niveau de sensibilité de l’information qu’il manipule.

Il est, par ailleurs, conseillé au collaborateur de faire un usage raisonnable des moyens de communication mis à sa disposition.

L’utilisation des ordinateurs (plus particulièrement les ordinateurs portables) ou encore des smartphones, notamment à l’extérieur de l’entreprise, peut engendrer des risques de fuite d’une information confidentielle.

Bo

îTe à

ou

TILS

15


Adopter un comportement vigilant

En toutes circonstances, il est vivement recommandé de ne pas laisser sans surveillance ses dossiers, documents ou toute information dont la divulgation et/ou la perte causerait un grave préjudice au Groupe.

Ceci est particulièrement vrai lors d’un déplacement à l’extérieur de l’entreprise mais également lors de la visite de tiers sur un site Thales.

La conservation des documents

Thales est tenu de conserver puis de détruire ses documents en fonction des délais et procédures légaux.

Ces obligations varient en fonction des pays dans lesquels Thales opère et valent aussi bien pour les documents matériels que pour les données dématérialisées.

Bo

îTe à

ou

TILS

16


Quelques liens utiles

site intranet de la Direction de la sûreté http://intranet.corp.thales/dsg/

référentiel chorus 2.0 : Processus « soutenir les Processus opérationnels »

« assurer la sûreté des personnes, biens, opérations et des informations » http://chorus2.corp.thales

« gérer les systèmes d’information / gérer la sécurité et les risques des si » http://chorus2.corp.thales

site intranet de la Direction ethique & responsabilité d’entreprise http://intranet.corp.thales/ethics/

17

ALL

er

pLu

S L

oIn

http://intranet.corp.thales/dsg/pub/

http://chorus2.corp.thales/group/guest/process?id=ObjDef.gi----cj----p--&parentId=ObjDef.5hz7--a6----p--

http://chorus2.corp.thales/group/guest/process?id=ObjDef.4dy---h7----p--&previousId=ObjDef.6z----c0----p--&keepCO=true

http://http://intranet.corp.thales/ethics/pub/codethales.cfm?slidid=4&idd=7974&intralang=fr


Documents de référence

code d’ethique thales http://intranet.corp.thales/ethics/

instruction « Protection des informations groupe » Référence Chorus 87201725-GOV-GRP

charte relative au bon usage des ressources d’information et de communication (charte informatique) thales Référence Chorus 87205824-GOV-GRP

global Principles of Business ethics for the aerospace and Defence industry www.ifbec.info

ALL

er

pLu

S L

oIn

18

http://intranet.corp.thales/ethics/pub/codethales.cfm?slidid=4&idd=7974&intralang=fr




Contact :

n’hésitez pas à solliciter la Direction ethique et responsabilité d’entreprise :

[email protected]

☎ + 33 (0)1 57 77 82 07

19

Co

nTA

CT

http://[email protected]

RéféRence cHORUS – 87205444-GOV-GRP-fR-001 - création octobre 2012

Direction éthique et responsabilité d’entreprise

45 rue de Villiers92526 Neuilly-sur-Seine Cedex

France

www.thalesgroup.com Réa

lisat

ion

: Zao

+S

trat

écré

a -

Shu

tter

stoc

k

Ce document est imprimé sur du papier recyclé