Si la transformation digitale de nos sociétés a modifié en profondeur le fonctionnement des entreprises et a fait émerger de nouveaux risques, elle a également conduit à la production massive de données qui peut, dans certains cas, constituer un atout et une opportunité. La conférence donnée par Fanch FRANCIS, PDG d’Oak Branch, dans le cadre d’un partenariat entre l’ANAJ-IHEDN et le Club Risques de l’Ecole de Guerre Economique, en a donné un exemple singulier. Le présent article s’inspire en grande partie de ce qui a été dit lors de cette rencontre.
Les attentats de Toulouse et Montauban, en mars 2012, puis ceux de l'Hyper Casher de la porte de Vincennes et au siège de Charlie Hebdo à Paris, en janvier 2015, ont établi la nécessité de détecter en amont les profils radicalisés. L'entreprise apparaît à ce titre comme l'espace social le plus propice pour effectuer cette détection, après la cellule familiale qui peut être aveuglée quant au comportement d'un proche et ne pas vouloir alerter les pouvoirs publics. Les managers et les chefs d'entreprises semblent cependant démunis face à cette problématique et à l'impossibilité de traiter toutes les données générées au sein de l'entreprise, que ce soit sur les réseaux sociaux, les sites visités ou encore le deep web. Cependant, tous s'accordent sur l'urgence d'agir et la nécessité d’établir rapidement un système de sécurité collective qui passe par l'implication des entreprises.
La notion de radicalisation
Le concept de radicalisation est assez ambiguë : ce mot, créé à partir du verbe « radicaliser » en 1930, désignait le fait de (se) radicaliser, c'est-à-dire d’adhérer aux idées ou valider les actions du Parti Radical et, plus globalement, des luttes d'indépendance ou des mouvements révolutionnaires de gauche. Ce n'est qu'à partir des années 2000 que ce terme a été utilisé dans le sens qu’on lui connaît aujourd’hui. Il désigne davantage la dynamique d'inscription dans tout projet sociétal qui conteste l'ordre établi, en utilisant notamment la violence. Le comité interministériel de prévention de la délinquance, dans le guide interministériel de prévention de la radicalisation de mars 2016, offre une définition non pas juridique, mais pratique de la radicalisation. Cette dernière est « un processus par lequel un individu, ou un groupe, adopte une forme violente d’action, directement liée à une idéologie extrémiste à contenu politique, social ou religieux qui conteste l’ordre établi sur le plan politique, social ou culturel. ». Le comité ajoute qu'elle se traduit souvent par un changement de comportement rapide pouvant conduire au rejet de la loi et au recours à la violence.
La radicalisation est un processus complexe, qui mêle une multiplicité de facteurs, tant individuels que collectifs, sociaux et psychologiques. Il se situe à la rencontre d’un parcours personnel et d’un système de croyances et de perception de la réalité, pouvant justifier le recours à la violence. De par sa nature même, de la temporalité dans laquelle il se déploie et de la faiblesse des signaux qu’il génère, ce processus se révèle assez complexe à détecter.
La criticité et l’immensité de la tâche que représente la détection de la radicalisation pressent les services de l'Etat à impliquer davantage les entreprises dans cette mission. C'est à partir de ce constat que Oak Branch tente de répondre à cet impératif de plus en plus pressant avec la mise en place d'un logiciel, qui, à partir de l'utilisation de la masse des données générées par l'entreprise, permet de détecter des « ruptures comportementales » et ainsi identifier les profils à risque.
Un défi juridique : stockage et encadrement des données
« La libre communication des pensées et des opinions est un des droits les plus précieux de l'Homme : tout Citoyen peut donc parler, écrire, imprimer librement, sauf à répondre de l'abus de cette liberté dans les cas déterminés par la Loi. »
L'article 11 de la Déclaration Universelle des Droits de l'Homme de 1789 s'impose comme le cadre réglementaire global. Cependant, la loi, en perpétuelle évolution, connaît des cas d'exception et permet d'encadrer la consultation et la communication de données sensibles. C’est le cas notamment de la loi n° 78-17 du 6 janvier 1978 (modifiée en 2002) relative à l'informatique, aux fichiers et aux libertés, en cours de révision. Cette dernière encadre l’utilisation des données générées par les employés des entreprises pour procéder à la détection de risques, mais elle soulève un certain nombre de problématiques juridiques. En effet, les entreprises disposent de cadres réglementaires et de leviers d'action différents selon leurs statuts. L'entité est limitée par un cadre juridique contraignant qui ne permet pas de faire des déclenchements d'alerte sans apporter des éléments tangibles. Néanmoins, elle dispose d'un accès quotidien à l'individu et à toutes les données traitées, ce qui lui confère un rôle primordial dans la détection des profils à risque.
Le code pénal, de son côté, en son article 421-2-5, reconnaît comme infraction le fait pour un salarié d'une entreprise de faire l'apologie du terrorisme ou de crimes perpétrés, et offre ainsi un fondement légal à un licenciement pour faute grave.
Dans les faits, une entreprise ne peut pas stocker des données personnelles sur les personnes qu'elle emploie de manière durable et est dans l'impossibilité de licencier des personnes sur la base de l'expression des opinions religieuses ou politiques. Cependant, si l’entreprise justifie un intérêt légitime à mettre en place une surveillance, si le dispositif de contrôle est approuvé par le comité d’entreprise et si les salariés sont informés en amont de la mise en place de ce dispositif, elle a le droit de surveiller les données générées par les téléphones portables et ordinateurs confiés à ses salariés. L'entreprise peut ainsi se saisir du cadre légal offert et exploiter tout contenu ou tout fichier non estampillé comme privé.
Après une recherche globale anonymisée, amorcée pour une raison quelconque mais fondée juridiquement, par exemple, la détection de contenus pédopornographiques, si le logiciel a relevé des signes de radicalisation au sein d'une organisation, il est possible alors de relier les données à la personne qui les génère. Cela passe par une demande de levée d'anonymat auprès d'un juge, ce qui entraîne de facto une judiciarisation de l'enquête et permet l’allocation de nouveaux moyens humains et techniques. Le fait d’alerter les pouvoirs publics sur la détection d'un début de radicalisation nécessite de posséder des preuves tangibles, obtenues de façon légale, ce que permet le logiciel grâce à l'historisation constante et systématique des processus et des données.
Une détection double
La détection de la radicalisation ou des profils à risque peut être humaine ou informatique, mais seule la combinaison des deux permet une détection complète et efficace. La détection humaine repose principalement sur la vigilance des collègues, des responsables et de la hiérarchie quant aux comportements des salariés. Les services informatiques ou les ressources humaines ainsi que n'importe quel employé doivent être en mesure de mettre en place des rapports d'étonnement anonymes pour rapporter certains comportements suspects. Si une entreprise souhaite mettre en place une alerte professionnelle (numéro de téléphone, adresse électronique particulière, formulaire en ligne), permettant aux salariés d’une entreprise de signaler des problèmes de tout ordre, elle doit s’adresser à la Commission Nationale de l’Informatique et des Libertés (CNIL) qui fournit une autorisation préalable et simplifie les démarches administratives.
- La détection humaine
Le processus de radicalisation peut concerner différents courants idéologiques, parmi lesquels se trouve l'écologie radicale, le néo-luddisme ou encore l'ultragauche anticapitaliste révolutionnaire. Dans le cas de la radicalisation religieuse, le repérage humain peut notamment se faire en identifiant des formes de déviances vis-à-vis de la laïcité ainsi que l'expression plus marquée de sa religiosité. Si le port de l'habit traditionnel, la prière sur le lieu de travail, le repli communautaire ou la pratique du jeûne ne sont pas contraires à la loi et sont compatibles avec l’exercice de son métier, ils peuvent cependant indiquer une forme de radicalisation dans le cas où l’on remarquerait un changement comportemental allant vers une pratique religieuse plus stricte qu’auparavant. En revanche, l'intolérance ou encore le refus de contact ou d'interaction sociale avec une frange des salariés en fonction de leur sexe ou leur religion et le ralliement à des théories du complot peuvent être des signaux d’alerte témoignant d’une forme de radicalité. De manière plus globale, la détection humaine de la radicalisation se fait en repérant les contradictions qui émanent de la difficulté à mettre en accord ses modes de pensée, sa communication et ses interactions sociales.
- La détection numérique
La détection numérique proposée repose sur différents outils d'analyse et le travail combiné de data scientists et d'experts métier. En reprenant des outils déjà existants dans les domaines de la veille, du marketing et de la détection de la fraude sur les systèmes bancaires notamment, les développeurs ont pu intégrer et agréger des fonctions de text mining (extraction de connaissance), de data mining (exploration de données), de scoring system (évaluation du système) ainsi qu'un moteur décisionnel pour arriver à la conception finale de la plateforme de détection. A partir de l'analyse neutre et anonyme des données générées par les employés d'une entreprise, le logiciel recherche des éléments propres à la radicalisation en se focalisant sur du contenu illicite ou la visite de sites dangereux ou illégaux, et en analysant des espaces sémantiques, sémiotiques à partir des vidéos, des fichiers audio, des images et des réseaux sociaux consultés. L'analyse statistique permet, quant à elle, d'expliquer les recoupements, les coïncidences, les anomalies et de détecter des ruptures et des changements comportementaux. La signalisation aux autorités compétentes d’une forme de radicalisation, pouvant amener à une enquête ou des sanctions, nécessite, d’une part, une violence physique, verbale ou morale et, d’autre part, une série d’indicateurs cumulatifs. Or, le logiciel, grâce à la traçabilité et l’historisation des éléments d’alerte, permet de fournir une preuve tangible d’un changement de comportement et d’une dynamique sur une temporalité moyenne ou longue.
L'entreprise apparaît à la fois comme une cible et un lieu d'expression de différentes formes de radicalité, qui couvre une grande variété de phénomènes, allant de l'incivilité à l'ultra-violence. Le contexte actuel produit un accroissement exponentiel de la demande des Directions en matière de gestion des risques vis-à-vis de cette thématique.
A qui s’adresse ce type de logiciel ?
Après une période de démonstration de 2 à 4 mois, l’entreprise peut collecter et analyser les données. Ces méthodes peuvent être internalisées sans l’intervention du prestataire.
On imagine ainsi facilement deux profils types de structures pouvant être des clients potentiels : d’une part, des grandes entreprises, notamment celles du secteur de la Défense, de la sécurité ou de l’armement ; d’autre part, des entreprises ou services de l’Etat considérés comme Opérateurs d’Importance Vitale (OIV) et ayant un rapport notamment avec des activités militaires, le secteur de la santé, de l’alimentation, de l’énergie ou encore du transport. Aujourd’hui, d’après le fondateur d’Oak Branch, la solution proposée par l’entreprise n’a pas été commercialisée comme telle, dans le simple but de détecter des profils radicalisés, mais a permis de mettre en place de nouveaux processus et de nouveaux outils qui intègrent les fonctionnalités du logiciel en les augmentant et en lui donnant un nouveau champ d’application. Face à l’entrée en vigueur du futur Règlement Européen sur la Protection des Données (RGPD), le 25 mai 2018, la solution devra respectée des contraintes fortes sur l’utilisation des données personnelles. Au-delà des profils radicalisés, la plate-forme mise au point par Oak Branch permet de détecter de nombreuses menaces internes telles que la fuite de données, le harcèlement, la discrimination, etc.
Si un équilibre reste sans doute à trouver entre la nécessité de se servir des données générées en entreprise pour améliorer notre sécurité collective et la crainte des citoyens de la mise en place d’un nouveau « Big Brother », il ne fait pas de doute que les fonctionnalités innovantes d’un tel logiciel sont intéressantes. Il faut cependant s’interroger sur les capacités d’un tel logiciel de traitement de données et sur les dérives potentielles.
Pierre Girard