Charte de confidentialité renforcée et sécurité de l’information

La communication de crise s’exerce au cœur d’informations sensibles : faits en cours de vérification, éléments juridiques, données sociales, incidents de sécurité, décisions stratégiques, informations financières, échanges internes, identités de personnes exposées, parfois menaces ou risques physiques. Une fuite, une indiscrétion, un partage mal maîtrisé, une capture d’écran, un accès non autorisé, ou l’usage d’un outil inadapté peuvent avoir des conséquences immédiates : mise en danger de personnes, perturbation d’enquêtes, amplification médiatique, atteinte à la réputation, dommages économiques, voire responsabilité contractuelle ou réglementaire.

Pour LaFrenchCom, la confidentialité et la sécurité de l’information ne relèvent pas d’un “bonus” ou d’un argument marketing. Elles sont une condition de confiance, une discipline opérationnelle, et un devoir professionnel insiste Florian Silnicki, expert en communication de crise et Président Fondateur de l’agence LaFrenchCom.

Cette charte formalise nos engagements en matière :

• de confidentialité renforcée (protection de l’information et des identités) ;
• de sécurité de l’information (prévention, contrôle, réaction) ;
• de bonnes pratiques applicables à l’ensemble de nos missions, en particulier celles menées en contexte de crise, d’urgence ou de forte exposition.

Cette charte est un cadre public et pédagogique. Elle ne se substitue pas aux contrats, NDA, clauses de confidentialité, accords de traitement de données ou exigences spécifiques convenues avec chaque client. Elle n’est pas un avis juridique.

Objet et finalité

Objet

La présente charte définit :

• les principes de protection de l’information appliqués par LaFrenchCom ;
• les règles de manipulation, stockage, transfert, accès, archivage et suppression des données ;
• la gestion des accès et des identités ;
• l’encadrement des outils et des pratiques (y compris en mobilité et en urgence) ;
• la gestion des prestataires et sous‑traitants ;
• la conduite à tenir en cas d’incident de sécurité ou de suspicion de fuite.

Finalité

Notre finalité est triple :

1. Protéger les clients et les personnes (dirigeants, salariés, parties prenantes) contre la fuite ou l’exploitation d’informations.
2. Sécuriser l’efficacité opérationnelle : en crise, un système d’information fragile devient un facteur aggravant.
3. Préserver la confiance : la discrétion n’est crédible que si elle est soutenue par des règles, des outils et des comportements.

Champ d’application

Cette charte s’applique :

• à tous les collaborateurs, dirigeants, associés, consultants, freelances, sous‑traitants et partenaires intervenant pour LaFrenchCom ;
• à toutes les missions (prévention, préparation, cellule de crise, sortie de crise, formation, monitoring, etc.) ;
• à tous les supports d’information : documents, emails, notes, messages, enregistrements, comptes rendus, livrables, logs, données de monitoring, captations, etc. ;
• à tous les canaux et environnements : bureau, domicile, déplacements, hôtels, réunions, plateformes numériques, outils de partage, messageries, etc.

Principes directeurs

Confidentialité par défaut

Tout ce qui est reçu, observé ou produit dans le cadre d’une mission est considéré confidentiel par défaut, sauf indication explicite contraire.

“Besoin d’en connaître” (need-to-know)

L’accès à l’information est strictement limité :

• aux personnes qui en ont besoin pour exécuter la mission ;
• au niveau de détail nécessaire (ni plus, ni moins).

Moindre privilège (least privilege)

Les droits d’accès sont attribués au niveau minimal nécessaire :

• durée limitée ;
• périmètre limité ;
• revus régulièrement ;
• retirés dès qu’ils ne sont plus indispensables.

Cloisonnement et séparation

Les dossiers sont segmentés :

• séparation entre clients ;
• séparation entre missions d’un même client si nécessaire ;
• séparation des environnements de travail lorsque le risque l’exige.

Traçabilité et contrôle raisonnable

Nous recherchons la traçabilité utile :

• versioning des documents clés ;
• gestion des accès ;
• logs lorsque requis par la criticité.

L’objectif n’est pas la surveillance, mais la sécurité et la cohérence en situation de crise.

Sobriété informationnelle

Nous limitons :

• la collecte de données au strict nécessaire ;
• la conservation dans le temps ;
• la duplication ;
• la circulation hors périmètre.

Moins il y a de copies, moins il y a de risques.

Sécurité opérationnelle en situation de crise

La crise impose vitesse et intensité : nous privilégions des pratiques permettant d’aller vite sans fragiliser la sécurité (canaux approuvés, règles d’urgence, discipline de version).

Classification de l’information

Nous appliquons une classification simple, compréhensible et opérationnelle.

Niveaux de classification

Niveau 1 — Public
Information destinée à être diffusée publiquement (communiqués, contenus validés, etc.).

Niveau 2 — Interne
Information réservée aux équipes d’un client ou de LaFrenchCom, non destinée à être publiée.

Niveau 3 — Confidentiel
Information sensible : stratégie, éléments de langage non publiés, données internes, informations RH, incidents, notes de crise, analyses, échanges préparatoires, etc.

Niveau 4 — Très confidentiel / Critique
Information dont la divulgation peut créer un dommage grave : identités sensibles, informations de sécurité, données d’enquête, éléments juridiques à haute sensibilité, accès techniques, informations permettant un recoupement, etc.

Règle de prudence

En cas de doute, l’information est classée au niveau supérieur.

Cycle de vie de l’information : règles de bout en bout

Collecte

Nous collectons uniquement ce qui est nécessaire :

• pour comprendre la situation ;
• pour vérifier les faits ;
• pour structurer la réponse ;
• pour protéger les personnes et l’organisation.

Nous évitons les “collectes au cas où”.

Stockage

Les informations sont stockées :

• dans des espaces dédiés au dossier ;
• avec des droits d’accès limités ;
• avec des mesures de sécurité adaptées au niveau de classification.

Les informations sensibles ne doivent pas être dispersées dans des environnements personnels ou non contrôlés.

Partage et transfert

Le partage se fait :

• via des canaux approuvés ;
• avec une liste de destinataires maîtrisée ;
• en limitant les pièces jointes non nécessaires ;
• en privilégiant les liens avec droits et durée (plutôt que l’envoi multiple de copies).

Interdit par principe :

• transférer des informations de dossier vers des outils personnels non autorisés ;
• “s’envoyer à soi-même” des documents sur une messagerie privée ;
• partager sur des services de stockage non approuvés.

Accès et consultation

• accès nominatif (pas de comptes partagés) ;
• authentification renforcée lorsque possible (MFA) ;
• revue périodique des accès ;
• retrait des accès dès la fin de mission ou changement d’équipe.

Archivage

L’archivage obéit à deux règles :

• conserver ce qui est utile (traçabilité, obligations contractuelles, continuité) ;
• supprimer ce qui ne l’est pas (minimisation).

Les modalités (durées, périmètres) peuvent être adaptées selon les exigences du client.

Suppression et destruction

À la fin d’une mission, nous appliquons une logique de purge contrôlée :

• suppression des copies locales non nécessaires ;
• révocation des accès ;
• clôture des espaces de partage ;
• destruction sécurisée des supports physiques si existants.

Contrôles de sécurité essentiels

Gestion des identités et authentification

• comptes individuels ;
• mots de passe robustes (et gestionnaire de mots de passe recommandé) ;
• MFA pour les outils critiques lorsque disponible ;
• révocation rapide des accès en cas de départ, de changement de rôle ou de suspicion.

Sécurité des postes et appareils

• systèmes et logiciels maintenus à jour ;
• verrouillage automatique d’écran ;
• chiffrement du disque lorsque disponible ;
• protection contre malware/menaces (mesures adaptées au niveau de risque) ;
• interdiction de stockage non contrôlé pour les informations critiques (ex : clés USB non autorisées).

Réunions et confidentialité “physique”

• pas de discussion sensible dans des lieux publics (transports, halls, restaurants) ;
• prudence en déplacement (hôtels, coworking) ;
• usage d’espaces fermés pour les points de crise ;
• documents papier limités, rangés, détruits de manière contrôlée.

Impression et supports papier

• impression limitée au strict nécessaire ;
• pas d’abandon sur imprimantes partagées ;
• collecte immédiate ;
• destruction par broyage sécurisé ou solution équivalente.

Enregistrements et captations

Par défaut, nous évitons l’enregistrement.
Si un enregistrement est nécessaire (formation, minute de validation, etc.), il doit être :

• explicitement autorisé ;
• stocké en environnement sécurisé ;
• conservé le temps strictement nécessaire ;
• soumis à des règles de suppression.

Outils numériques : doctrine d’usage

Principe : outils approuvés, périmètres clairs

Nous privilégions un ensemble d’outils :

• adaptés au contexte de crise (rapidité + contrôle) ;
• configurés avec des droits d’accès maîtrisés ;
• permettant une traçabilité raisonnable.

Messageries et canaux

• privilégier des canaux permettant la confidentialité et la maîtrise des accès ;
• éviter la multiplication des canaux ;
• limiter l’usage de messageries grand public non encadrées pour les informations très sensibles, sauf accord explicite du client et protocole adapté.

Partage de documents

• favoriser les espaces de partage avec droits (lecture/édition) et expiration ;
• éviter les pièces jointes multiples ;
• contrôler les téléchargements si nécessaire (selon criticité).

Règles de nommage et de version

En crise, la confusion tue la cohérence. Nous appliquons :

• nommage standard (date/version) ;
• versioning contrôlé ;
• “source of truth” (un document maître, pas dix copies divergentes).

Travail à distance, mobilité et situations d’urgence

Travail à distance (télétravail)

• environnement calme et privé ;
• écran non visible par des tiers ;
• pas de documents sensibles “posés” en permanence ;
• usage de réseau Wi‑Fi sécurisé (éviter Wi‑Fi publics pour contenus critiques, privilégier alternatives sûres).

Déplacements

• vigilance contre “shoulder surfing” (regards) ;
• pas d’appels sensibles en zone ouverte ;
• précautions sur le stockage local ;
• prudence sur les connexions et périphériques inconnus.

Mode urgence (war room)

En situation de crise intense, nous appliquons un “protocole d’urgence” :

• un canal principal ;
• un espace documentaire unique ;
• une discipline de validation ;
• un rappel explicite des niveaux de confidentialité ;
• un responsable de la cohérence documentaire.

Sous‑traitants, partenaires et prestataires

Principe de responsabilité

Tout prestataire qui intervient sur un dossier doit respecter :

• des obligations de confidentialité au minimum équivalentes ;
• des règles de sécurité compatibles avec la criticité du dossier.

Encadrement

Selon les cas :

• NDA/clauses spécifiques ;
• limitation stricte des accès ;
• segmentation des informations partagées ;
• interdiction de sous‑traitance en chaîne sans autorisation ;
• vérification raisonnable des pratiques.

“Besoin d’en connaître” étendu

Un prestataire ne reçoit que :

• les informations nécessaires à sa tâche ;
• et idéalement, sans éléments identifiants superflus.

Données personnelles et informations sensibles

Minimisation

Nous limitons :

• les données nominatives ;
• les identifiants directs ;
• les pièces contenant des données inutiles.

Protection renforcée

Les données sensibles (ex. identités exposées, informations RH, dossiers disciplinaires, informations médicales, etc.) font l’objet de précautions supplémentaires :

• accès restreint ;
• stockage sécurisé ;
• partage strictement nécessaire ;
• conservation limitée.

Coordination client

Le client reste décisionnaire de ses obligations propres. Nous coopérons pour :

• adapter les canaux ;
• limiter les risques ;
• organiser des pratiques compatibles avec les exigences applicables.

Usage de l’IA et outils d’assistance : garde‑fous de confidentialité

LaFrenchCom considère que l’usage d’outils d’IA doit être encadré, car il peut créer un risque de fuite, de recoupement ou de conservation non maîtrisée.

Règles de base :

• pas d’injection d’informations très sensibles dans des outils non approuvés ;
• anonymisation lorsqu’un outil d’assistance est utilisé ;
• relecture humaine obligatoire ;
• vérification systématique des faits (l’IA ne remplace pas la validation).

Gestion des incidents : fuite, suspicion, compromission

Définition d’un incident

Est considéré comme incident notamment :

• perte/vol d’un appareil contenant des informations de dossier ;
• envoi d’un document au mauvais destinataire ;
• accès non autorisé (compte compromis) ;
• lien de partage diffusé trop largement ;
• fuite suspectée (publication, capture, recoupement) ;
• malware ou comportement anormal sur un poste.

Principe : signaler immédiatement

Tout membre de l’équipe doit signaler immédiatement :

• une suspicion,
• un doute,
• ou un incident avéré.

L’objectif n’est pas de “chercher un coupable”, mais de limiter l’impact.

Réponse et remédiation (principes)

Selon la situation :

• suspension des accès concernés ;
• changement des identifiants ;
• rotation des liens de partage ;
• retrait de documents ;
• analyse du périmètre (quels documents, quels accès, quelle exposition) ;
• information du client selon les modalités applicables ;
• plan de correction (process, outils, formation).

Gouvernance interne et responsabilités

Référent sécurité de l’information

LaFrenchCom désigne un référent (ou une instance) chargé de :

• faire vivre la présente charte ;
• arbitrer les cas sensibles (outils, accès, prestataires) ;
• organiser le retour d’expérience après incident ;
• maintenir des standards internes et check-lists.

Responsabilité individuelle

La sécurité n’est pas “le sujet de l’IT”.
Chaque intervenant est responsable de :

• la confidentialité des informations qu’il manipule ;
• la discipline de partage ;
• le respect des outils et procédures.

Formation, sensibilisation, culture

LaFrenchCom met en place :

• un socle de formation à l’arrivée (confidentialité, outils, risques) ;
• des rappels réguliers (bonnes pratiques, retours d’expérience) ;
• des “réflexes de crise” (check-lists, protocoles d’urgence) ;
• une culture de la prudence (préférer demander que supposer).

Non‑respect : conséquences

Le non‑respect de cette charte peut entraîner :

• retrait d’accès à un dossier ;
• mesures internes (selon gravité) ;
• rupture de collaboration avec un prestataire ;
• et, selon les contrats, conséquences contractuelles.

Révision, publication et articulation avec nos autres chartes

Cette charte :

• est publique ;
• peut évoluer pour s’adapter aux nouvelles menaces, plateformes, pratiques ;
• s’articule avec nos chartes :
  • non‑communication sur nos clients et missions (discrétion externe),
  • éthique et intégrité (vérité, non‑nuisance),
  • acceptation des missions et lignes rouges,
  • gestion des conflits d’intérêts.

Règles simples “5 réflexes” (mémo opérationnel)

1. Si tu doutes, classe au plus sensible.
2. Un seul espace documentaire par dossier, pas de copies.
3. Partage par lien à droits + expiration, pas par pièces jointes multiples.
4. Need-to-know : moins de destinataires, moins de risques.
5. Incident ou erreur : signaler immédiatement, corriger vite.

Mini grille de classification (exemples)

• Public : communiqué validé publié, FAQ publique, page site validée.
• Interne : planning de prise de parole, note de coordination, CR interne.
• Confidentiel : éléments de langage non publiés, Q&A sensible, analyse d’angles, cartographie parties prenantes, brief porte‑parole.
• Très confidentiel / Critique : identités exposées, données d’enquête, informations de sécurité (accès, vulnérabilités), documents juridiques hautement sensibles, éléments permettant recoupement immédiat.

Check‑list “démarrage de dossier”

• Espace documentaire dédié créé
• Droits attribués selon “need-to-know”
• Canal principal de communication défini
• Niveaux de confidentialité rappelés à l’équipe
• Règles de versioning et de validation définies
• Liste des prestataires (si any) + NDA + accès minimaux
• Protocole incident rappelé

LaFrenchCom considère que la confidentialité ne se proclame pas : elle se pratique.
Dans un métier où l’on intervient au cœur de situations sensibles, la sécurité de l’information est un prolongement direct de notre responsabilité professionnelle. Cette charte formalise notre engagement : protéger les informations, protéger les personnes, protéger la capacité du client à traverser la crise sans être fragilisé par une fuite, une erreur de canal, ou une faiblesse de process.