Un cadre supérieur a été estomaqué de découvrir, à la suite d’un test de vulnérabilité et de pénétration de système, la quantité insoupçonnée d’informations circulant non officiellement sur la Toile à propos de son organisation. Ces informations provenaient de forums de discussion auxquels avaient participé des employés, en utilisant une adresse de courriel de l’entreprise.
Non seulement les opinions ainsi émises échappent au contrôle de l’organisation, malgré qu’elles proviennent d’adresses portant son nom, mais elles peuvent même être contraires aux positions de la direction. On peut légitimement s’imaginer le tort que cela peut causer à la réputation de l’entreprise, et les conséquences sur les fluctuations de son titre, si elle est publique. Il faut savoir qu’il est tentant pour les employés d’utiliser l’infrastructure d’entreprise qui, habituellement, est plus performante que les systèmes de courrier électronique publics, particulièrement s’ils sont gratuits.
En principe, les adresses de courriel de l’organisation devraient servir strictement aux affaires de cette dernière. Tout commentaire émis par un employé à propos de son employeur, de ses produits, de fournisseurs ou de tout autres sujets constituant une opinion personnelle devrait être transmis à partir d’une adresse personnelle – appartenant à un fournisseur d’accès Internet, tel Sympatico et Vidéotron, ou fournie gratuitement par des organisations comme Google, Hotmail et Yahoo. Par ailleurs, il est de plus en plus fréquent d’enregistrer son nom comme domaine Internet – par exemple Dicaire.com ou Dicaire.ca. On peut alors utiliser une adresse permanente du type prénom@nom (c.-à-d. benoit@dicaire.com), idéale pour les communications personnelles.
En évitant d’avoir recours inutilement au système de courrier électronique de l’entreprise, on réduit les risques pesant sur l’image de l’organisation et les performances du système en question – un volume élevé de courriels personnels peut provoquer des ralentissements. Il est impératif que des directives en ce sens soient incluses dans la politique de sécurité de l’entreprise. Toute mesure technologique ou disciplinaire relative aux courriels personnels doit être précédée de règles claires. Après tout, on ne peut émettre de contravention pour cause de vitesse sur l’autoroute si les limites en ce sens n’ont pas été établies.
Il revient ensuite à chaque organisation de décider jusqu’à quel point les courriels de nature personnelle sont autorisés sur ses systèmes. La direction doit traiter le sujet de la même façon qu’elle le fait pour les appels téléphoniques et les envois par télécopie. La marge de manœuvre accordée, le cas échéant, dépend de la culture de chaque organisation.
Il importe de savoir, toutefois, que la lecture de courrier personnel via une interface Web branchée sur un système externe n’appartenant pas à l’organisation comporte le risque d’introduction d’un virus ou d’un logiciel espion sur le poste de travail de l’employé, et par ricochet, dans l’ensemble du réseau.
L’objectif poursuivi en autorisant un certain laxisme est de maintenir un niveau acceptable de productivité, sans indisposer les employés, ni miner leur moral. Solution de rechange intéressante, certaines entreprises ont choisi d’installer des kiosques – à la cafétéria par exemple – où des ordinateurs sont mis à la disposition des employés pour le traitement de leur courrier personnel.
Une chose est claire, cependant : nos outils de travail appartiennent à l’entreprise, tout comme le résultat de notre travail, incluant sa propriété intellectuelle. Nos actions doivent être arrimées avec les politiques de confidentialité et de non-divulgation. Bien entendu, les mêmes obligations doivent s’appliquer aux employés contractuels et aux partenaires travaillant dans les locaux de l’organisation.
