e-coffee machine... | Decembre 2005


Réglementations et normes en vigueur (IM)

Les nouvelles technologies d’information et de la communication (NTIC), comme l’e-mail (courrier électronique) et l’instant messaging (IM), sont soumises à de nombreuses réglementations. L’IM est notamment considéré comme une forme de communication électronique et doit donc respecter toutes les règles applicables au courrier électronique. Le respect des règles et des normes en vigueur est donc un grand défi pour toutes les sociétés qui déploient l’utilisation de l’IM sur le lieu de travail.

Introduction

Les normes qui s’appliquent à l’IM sont valables autant sur un applicatif gratuit (par exemple, Yahoo! Messenger, MSN Messenger, ICQ, AOL Instant Messaging etc), que sur un applicatif d’entreprise (Microsoft Live Communications Server, IBM Lotus Sametime etc.)

Les sociétés qui ne respectent pas ces normes risquent de subir des conséquences négatives non négligeables au niveau financier et légal. Les réglementations pour la communication électronique et, plus particulièrement, celles qui s’appliquent à l’IM, peuvent être regroupées dans les deux catégories suivantes:

  • Révision, rétention et contrôle de l’information
  • Protection et sécurité de la sphère privée

L’Amérique du Nord a été un précurseur dans l’utilisation de l’IM en entreprise et a, par conséquent, défini les réglementations de base.

Révision, rétention et contrôle de l’information

Par rapport à la révision, rétention et contrôle de l’information, les entreprises doivent contrôler l'identité de l'émetteur et du récepteur, enregistrer, archiver et réviser systématiquement tous les messages IM. Parmi les règlements qui s’appliquent il y a le SEC 17a-4, le NASD 3010 et NASD 2711, les règles NYSE 440 et 342, le Freedom of Information Act, et le Sarbanes-Oxley.

Différentes réglementations s’appliquent à différents domaines d’affaires:

Les normes SEC (Securities Exchange Act) et les normes NASD 3010/3110 (National Association of Securities Dealers) sont des réglementations créees pour protéger les investisseurs dans le domaine financier (banques, brokers, traders etc.). Elles obligent l’enregistrement, l’archivage et la mise à disposition de toutes les transactions sécurisées à des fins de révision et d’audit. En 1997, les règles SEC 17a-4 ont été introduites pour réglementer tous les enregistrements électroniques, y compris les communications électroniques comme l’email et l’IM.

En revanche, les normes SarbOx, (Sarbanes-Oxley, du nom des sénateurs américains qui ont proposé la loi) s’appliquent non seulement au domaine financier mais aussi à d’autres domaines tels que ceux de la santé, du droit et de la science de la vie. Ces dernières réglementations définissent des règles de rétention et gestion des enregistrements pour toutes les sociétés cotées en bourse.

Voici une liste non-exhaustive des tâches demandées aux entreprises

Contrôler l’accès à l’IM

  • Par utilisateur, groupe et domaine
  • Filtrage de contenu et des mots clés
  • Firewall entre les groupes d’utilisateurs
  • Mappage automatique du nom de l’utilisateur
  • Accès contrôlé aux applicatifs d’IM publics

Enregistrer et archiver tout message IM

  • Enregistrer tous les messages IM (publics et d’entreprise)
  • Intégration avec les applicatifs d’archivage de courriers électroniques
  • Architecture qui garantit l'absence de toute perte de données

Réviser et auditer l’IM

  • Système puissant de recherche d’information sur le web
  • Capacité de donner des notes aux conversations et système de contrôle de mots clés interdits
  • Réviseurs et auditeurs avec quotas pour le nombre de révisions
  • Système de génération de comptes-rendus du niveau du respect des règles IM

Beaucoup de sociétés de services proposent aujourd’hui des produits complexes qui assurent la gestion des NTIC dans l’entreprise (notamment email et IM) en respectant les réglementations existantes.

Voici, ci-dessous, une liste non-exhaustive des réglementations existantes:

Réglementation Obligations pour les sociétés Infos additionnelles (.pdf)
SEC 17a-3 & 17a4

Archivage et révision des communications électroniques

Services financiers

Source: ZipLip Inc

« SEC Rules Overview »

FDIC

Rétention et révision de toutes communications électroniques

Banques membres de L’FDIC et institutions financières
--
NASD 3010 & 3110

Politiques de rétention et révision des communications électroniques

Services financiers

Source: FrontBridge Technologies Inc

« Messaging and SEC 17a-4, NASD 3010/3110 »

NASD 2711

Séparations entre brokers-dealers et l’analyse d’investissement

Services financiers
--
NYSE Rule 440

Rétention de toute commande faite par communication électronique

Services financiers
--
FERC/NERC Rétention et révision de toute communication électronique
Compagnies dans le domaine de l’énergie
--
Sarbanes-Oxley

Disponibilité de l’historique de communications pour les auditions et « Chinese wall » pour les analystes.

Compagnies cotées en bourse

Source : ZipLip Inc

« Sarbanes-Oxley Act overview »

Freedom of Information Act

Contrôle et rétention de tous les enregistrements

Institutions gouvernementales et leurs fournisseurs
--
21CFR Part 11

Rétention et audition des « e-enregistrements »

Science de la vie et pharmaceutique
--
5015.2STD Rétention et audition des messages
Département de la défense
--
Regulation FD

Contrôle sur les communications vers l’extérieur

Sociétés cotées en bourse
--

Une enquête récente faite par l’AMA (American Management Association), «2004 workplace email and IM survey», montre que la majorité des sociétés peinent à mettre en place les moyens nécessaires pour bien gérer l’utilisation de l’IM sur le lieu de travail.

Protection et sécurité de la sphère privée

Par rapport à la protection et sécurité de la sphère privée, les réglementations les plus connues et relatives à la protection des informations personnelles contenues dans les documents électroniques sont les normes canadiennes PIPEDA (Personal Information Protection and Electronic Documents Act ), le HIPAA Privacy and Security pour le domaine de la santé, le Gramm-Leach-Bliley pour la protection des consommateurs, et le EU Data Protection Act.

En revanche, en ce qui concerne la Confédération Helvétique, le PFPD (Préposé Fédéral à la Protection des Données) présente les conditions et le déroulement correct de la surveillance d’internet et de la messagerie électronique pour les organes privés et fédéraux. De plus, des questions et réponses relatives aux règles qui s’appliquent aux NTIC sur le lieu de travail sont disponibles en ligne.

Règlementation Obligations pour les sociétés Infos additionnelles (.pdf)
HIPAA Protection de toutes les informations relatives à la santé du patient
Sociétés dans le domaine de la santé

Source: CMS

« Centers for Medicare and Medicaid services »

Gramm-Leach-Bliley Act Protection de toute information clientèle
Toutes sociétés
--
California sB 1386 Protection des informations personnelles
Toutes les sociétés Californiennes
--
EU Data Protection Act (EU) Protection des informations personnelles
Toutes sociétés
--
PIPEDA (Canada) Protection des informations personnelles
Toutes les sociétés Canadiennes

Source:

« Ministère de la Justice Canada »

Sources:
AMA (American Management Association)
Akonix Inc, «Solutions for Enterprise IM»
ZipLip Inc, «Email Archiving and secure messaging»
IMLogic, Inc «Real-time IM threat protection»
FrontBridge Techologies Inc, «email compliance with encryption and archiving tools»
SEC (Securities Exchange Act)
NASD 3010/3110 (National Association of Securities Dealers)
Sarbanes-Oxley
PIPEDA (Personal Information Protection and Electronic Documents Act )
PFDP (Préposé Fédéral à la Protection des Données)
EU Data Protection Act.
HIPAA Privacy and Security



Réalisé par Guido Guidi


dossier préparé par:


Catherine Calais, Guido Guidi, Amina Lkima, Philippe Perakis, Warren Smith