​« Mais on a pourtant une politique pour ça, non ? » Voilà une plainte que de nombreux juristes d’entreprise et compliance officers connaissent bien. Une politique de protection des données ? Check. Une feuille de route expliquant quoi faire en cas de fuite de données ? Check. Des règles sur l’usage privé des outils informatiques professionnels ? Check. Un code de conduite ? Check. Et pourtant : certains collaborateurs envoient des données à caractère personnel via leur adresse e-mail privée, signalent un incident trop tard ou cliquent sans réfléchir sur un lien de phishing. Comment est-ce possible, alors que les règles sont claires ?

La réponse : avoir une politique ne suffit pas. Bien sûr, les textes sont clairs à vos yeux en tant que juriste d’entreprise ou compliance officer. Vous les avez probablement rédigés vous-même. Et si ce n’est pas le cas, ces politiques portent à tout le moins sur des matières que vous maîtrisez. Mais pour vos collègues d’autres départements, ce n’est pas le cas. Ont-ils d’ailleurs lu votre politique ou l’ont-ils déjà classée verticalement dans un dossier introuvable sur leur ordinateur ? Et s’ils l’ont lue, l’ont-ils comprise ? Et s’ils l’ont comprise, savent-ils réellement comment agir – ou ne pas agir ?

Cet article s’articule autour d’une idée centrale : de nombreuses politiques échouent non pas parce qu’elles sont juridiquement incorrectes, mais parce qu’elles sont inutilisables pour les personnes qui doivent les appliquer. Pour les juristes d’entreprise, cela représente une double mission : rédiger des textes juridiquement solides et à la portée des collaborateurs.

Rédigez la politique pour les autres, pas pour vous-même

Posez-vous une autre question. Savez-vous exactement quoi faire lorsque l’alarme incendie se déclenche ? Ou comment configurer une connexion VPN sécurisée à domicile ? Le conseiller en prévention vous a probablement un jour fourni un mode d’emploi. Peut-être qu’une FAQ sur l’intranet explique la marche à suivre. Mais dans un moment critique, sauriez-vous agir de manière infaillible ?

En tant que juriste ou compliance officer, vous êtes un expert dans votre domaine. Prenons l’exemple de la procédure qui concerne les fuites de données. En tant que juriste ou data protection officer, vous connaissez le RGPD, vous savez quand considérer qu’il y a une fuite de données ou pas, vous connaissez la différence entre un sous-traitant et un responsable du traitement. Mais votre collègue du département ventes, marketing ou opérations ne le sait absolument pas.

Lorsque vous écrivez dans votre politique : « En cas de présomption de violation de données à caractère personnel, il faut contacter le DPO sans délai », cela vous paraît parfaitement clair. Pour votre collègue, cela soulève surtout des questions :

1. Qu’est-ce qu’une « violation de données à caractère personnel » ? Faut-il que mon ordinateur ait été piraté ou cela vaut-il aussi si j’oublie mon ordinateur portable contenant des données sensibles dans le train ?
2. Que signifie « sans délai » ? Maintenant ? Dans quatre heures ? Demain est-ce encore acceptable ?
3. Qu’est-ce qu’un DPO au juste ? Qui est le DPO responsable dans l’entreprise ? Et où puis-je le trouver ?

Qu’est-ce qu’une bonne politique ?

Une bonne politique n’est pas un essai juridique. C’est un instrument pratique qui combine trois éléments : (i) l’exactitude juridique, (ii) l’applicabilité opérationnelle et (iii) la clarté. Ces trois aspects sont tout aussi importants.

Chaque politique doit permettre à toute personne dans l’entreprise de comprendre :

1. pourquoi la politique existe ;
2. si elle lui est applicable ;
3. ce que l’on attend concrètement ;
4. quelles sont les conséquences en cas de non-respect.

Avant de commencer : définissez l’objectif de votre politique et impliquez votre public cible

Une bonne politique part d’une question concrète. La première étape n’est pas : « Que disent les règles ? », mais : « Quel problème voulons-nous résoudre ? » ou « Quel risque devons-nous maîtriser ? »

Ce point de départ peut par exemple être :

1. Vous constatez que les fuites de données sont signalées trop tard.
2. Des tests révèlent une mauvaise utilisation de certains outils d’IA.
3. Vous recevez de nombreuses questions sur les règles relatives au télétravail.

Il est également judicieux d’impliquer votre public cible, les parties prenantes, dans l’élaboration de cette politique. Dans la pratique, les collaborateurs sont confrontés à des questions et des obstacles auxquels vous ne pensez pas nécessairement. Ce sont eux qui appliqueront réellement la politique : mieux vaut donc les impliquer le plus tôt possible. Cela augmente l’adhésion et rend la politique plus réaliste. Une règle impraticable sera plus facilement ignorée, même si elle est juridiquement correcte.

Structure : rendez-la facile à lire et logique

Un document structuré améliore fortement la lisibilité. La structure suivante est classique et efficace :

1. Titre – clair et spécifique
2. Objectif (Purpose) – pourquoi cette politique existe-t-elle ?
3. Champ d’application (Scope) – à qui s’applique-t-elle ?
4. Définitions – expliquez les notions clés de manière simple
5. Règles (Policy body) – les règles concrètes
6. Responsabilités – qui fait quoi ?
7. Procédure – instructions étape par étape

Il est essentiel de distinguer le « quoi » (la politique) du « comment » (la procédure).

Par exemple :

Politique :
« Toutes les fuites de données doivent être signalées en interne dans les 24 heures suivant leur découverte. »

Procédure :

1. Signalez l’incident via le formulaire en ligne.
2. Ajoutez les documents pertinents.
3. Informez votre supérieur hiérarchique.

Style rédactionnel : moins de jargon juridique

Les juristes ont parfois tendance à se montrer prolixes, avec de nombreuses subordonnées et des termes longs et complexes, ce qui conduit à des politiques interminables. Et cela ne fonctionne pas. Plus une politique est longue, plus il y a de chances que les collaborateurs ne la lisent pas (entièrement) et ne la suivent donc pas.

Limitez votre politique à une ou deux pages. Besoin de plus d’explications ? Indiquez l’essentiel dans la politique et ajoutez des annexes. Ce n’est pas simple, mais « écrire, c’est supprimer ». Demandez-vous pour chaque paragraphe : est-il vraiment nécessaire ou seulement utile pour l’exhaustivité juridique ?

Autres conseils : évitez le jargon, les phrases passives (« l’incident doit être signalé ») et les termes archaïques.

Plus c’est concret, mieux c’est

Une politique qui dit : « Les collaborateurs doivent protéger adéquatement les informations confidentielles » est vague pour beaucoup d’utilisateurs et ne sera donc pas suivie.

Traduisez plutôt cette règle abstraite en instructions concrètes :

1. Ne partagez pas de données confidentielles via WhatsApp.
2. N’introduisez pas de clé USB venant de l’extérieur.
3. Ne partagez pas de données clients avec ChatGPT.
4. Ne téléchargez pas de documents via un lien WeTransfer.

Plus la règle est abstraite, plus la marge d’interprétation est grande. Et plus cette marge est grande, plus le risque d’erreur augmente.

Legal design : du document à l’outil pratique

Le legal design est une bonne manière de transformer un document en véritable outil pratique. Vous pouvez remplacer les longs blocs de texte par :

1. des puces ou des tirets
2. des tableaux
3. des schémas
4. des infographies
5. des flowcharts

Mise en œuvre

Même la politique la mieux rédigée restera sans effet si personne ne la connaît. Veillez à ce que le document soit accessible à tous (intranet) et facile à trouver.

Communiquez activement lors du lancement d’une nouvelle politique, par exemple via une courte présentation lors des réunions d’équipe et un module d’e-learning avec des exemples pratiques.

Conclusion

Une politique est avant tout un outil de travail. Si les collaborateurs ne comprennent pas les règles, ils ne les suivront pas, aussi parfaites soient-elles sur le plan juridique.

Il s’agit d’une opportunité importante pour les juristes d’entreprise. En vous concentrant en priorité sur cette question : « que doit savoir et faire mon collègue ?», vous augmentez non seulement l’observance de la politique, mais aussi son impact au sein de l’organisation.

Wim Putzeys, rédacteur en chef Jubel