Aurélien Van de Wiele – La confrontation puis l’entrée progressive, plus ou moins maîtrisée, des réseaux sociaux dits publics, où le membre est appréhendé comme « tout internaute », un citoyen, indépendamment de son activité professionnelle, tels facebook, twitter, ou encore foursquare, dans le monde de l’entreprise, ont eu lieu. Les problématiques juridiques les plus saillantes liées à ces réseaux sociaux dits publics ou externes sont désormais mieux connues, et connaissent un commencement de réponse par la loi, ceux qui l’interprètent et ceux qui l’appliquent dans l’entreprise. Ainsi, l’employeur ne peut pas utiliser librement l’usage fait des réseaux sociaux par un candidat comme critère d’embauche, des règles qui s’imposent aux salariés encadrent l’usage des réseaux sociaux dits publics en entreprise, et les magistrats échafaudent progressivement leur jurisprudence en matière de licenciement pour des propos abusifs tenus sur Facebook, traçant la difficile frontière entre protection de la vie privée et du secret des correspondances et pouvoir de direction de l’employeur.

La tendance est aujourd’hui au développement et à l’introduction par l’entreprise elle-même d’un réseau social en interne, ou réseau social en entreprise (RSE), qui a vocation à regrouper des membres salariés de l’entreprise. Ce réseau se substitue ou se surajoute au classique intranet, reléguant le panneau d’affichage au statut d’objet de collection. Les applications : installer un programme de réservation de vacances, mettre en place un annuaire détaillé interactif, instaurer un espace de travail collaboratif permettant de modifier des documents en ligne avec commentaires et observations, bref renforcer la transversalité, la collaboration et donc les processus métiers.

En fonction des choix effectués, le RSE sera ou non partiellement ouvert au public, c’est-à-dire à des personnes qui ne sont pas des salariés de l’entreprise, des consultants ou les clients par exemple, ou encore interconnecté avec des réseaux sociaux plus classiques ouverts au public, en flux entrant (un twit est publié sur le RSE) ou sortant (un éditorial du Président est publié sur la page facebook de l’entreprise, un groupe de promotion des produits est animé en externe par un salarié). Plusieurs RSE pourront coexister au sein de l’entreprise ou du groupe (le RSE fournisseur, client, des spécialistes d’un thème donné…).

Sans pour autant éclipser les anciennes problématiques – la règlementation des usages et des comportements par une charte, la nécessaire consultation des IRP dans les entreprises de plus de cinquante salariés, la question des propos abusifs, notamment – de nouvelles questions surgissent, parmi lesquelles notamment :

La conduite du changement. Sous peine de voir se développer un RSE différent pour chacune des directions, il convient d’impliquer dès l’origine les RH, la communication, la direction générale, et les métiers, dans une perspective « entreprise 2.0 ». Plus généralement, il est important pour l’entreprise de mettre en place un plan de communication en interne et un plan de suivi, afin de permettre une évolution maîtrisée.

La gouvernance. Afin d’éviter que le RSE ne soit dépendant d’une seule direction, il est opportun de déployer une cellule de gouvernance collégiale, ou à défaut de moyens, de confier à un ou plusieurs collaborateurs des responsabilités de gestionnaire de communauté.

L’intégration. L’entreprise doit intégrer le RSE à son système d’information. De plus en plus souvent, cela passera par la négociation et la signature d’un contrat SaaS (ou software as a service), le prestataire configurant et personnalisant une interface qui donnera accès aux applications par l’intermédiaire du web, plutôt que par un développement ou une intégration en interne. Parmi les clauses essentielles, une attention particulière devra être donnée à la question de la sécurité et de la confidentialité des données, à la clause de réversibilité des prestations, ou encore aux niveaux de service et aux moyens de les contrôler. Si l’on souhaite faire interagir le RSE avec d’autres RSE ou des réseaux sociaux ouverts au public, il faudra le prévoir au cours de la négociation du contrat avec le prestataire, car il n’existe aujourd’hui aucun véritable standard logiciel.

La gestion des profils. Une politique centralisée de gestion des profils devra être mise en place, le système de gestion de l’identité du RSE devant être au moins interopérable avec le système existant dans l’entreprise, d’autant plus si des RSE ou des communautés d’intérêt distincts sont créés au sein de l’entreprise ou du groupe (fournisseurs, clients et salariés), ou si des interconnexions existent avec les réseaux dits « publics ». Cette politique pourra mettre en place des accès plus ou moins restreints (de l’intérimaire au salarié, en passant par le sous-traitant). Il conviendra également de définir des règles de conservation/suppression des profils et données associées, pertinentes au regard du RSE considéré. Un profil de sous-traitant associé à un seul projet ne peut pas être traité comme celui d’un salarié ayant 10 ans d’ancienneté et un statut de représentant du personnel.

Le confidentiel entreprise. La gestion des profils et des autorisations d’accès est d’autant plus importante que des données confidentielles entreprise auront vocation à circuler sur le RSE.

Les données à caractère personnel. En fonction de l’état des déclarations CNIL déjà effectuées et des finalités poursuivies par les traitements, de la présence ou non d’un correspondant informatique et libertés dans l’entreprise, de l’existence ou non de transfert internationaux de données, des formalités CNIL liées à la mise en place du RSE pourront se révéler nécessaire. La durée de conservation des données associées au profil devra être encadrée, notamment lorsque qu’un collaborateur quitte l’entreprise, de même que la conservation de ses contributions, éventuellement anonymisées, dans le système d’information. Un groupe de travail de l’AFCDP travaille sur le sujet et nous sommes en attente de sa contribution.

La charte éditoriale. Au sein d’un RSE, les conversations non professionnelles n’ont pas lieu d’être. Une charte éditoriale, intégrée ou non à la charte informatique, qui prévoira les comportements, la modération et les sanctions, devra être acceptée par les utilisateurs en fonction de leur implication dans le RSE (utilisateur salarié, utilisateur temporaire, utilisateur externe, administrateur, community manager, modérateur). Il sera nécessaire d’encadrer l’intégration multi-flux, si elle est envisagée.

Les conditions d’utilisation on line. Aux côtés des différentes chartes de régulation qui feront partie du référentiel du salarié aux côtés de son contrat de travail, des conditions générales et particulières d’utilisation en ligne qui renverront à ce référentiel devront faire l’objet d’une acceptation clic. Elles préciseront, pour chaque espace ou sous-espace, les droits et obligations des utilisateurs en fonction notamment du degré de sensibilité ou de confidentialité des données échangées.

La « note » RSE. Beaucoup d’outil de RSE permettent de donner à l’utilisateur un score d’implication dans le RSE, fondé sur le nombre de contributions et l’appréciation des autres contributeurs. Est-il possible à l’employeur de se fonder sur un tel score, dont les prémisses algorithmiques sont mal connues, pour augmenter le salaire de tel ou tel collaborateur ? Par ailleurs, le contenu collaboratif ne va-t-il pas se transformer en moyen de se faire bien voir par l’employeur au détriment du ROI attendu par celui-ci ?

Comme le démontrent ces quelques points, pour mettre en musique un RSE, il est indispensable de composer quelques notes juridiques.