Les autorités américaines ont infligé plus de 500 millions de dollars d'amende à une dizaine de banques, dont BNP Paribas et la Société Générale, au motif qu'elles n'avaient pas conservé les messages échangés par leurs employés dans le cadre de leurs activités professionnelles, rapportent AGEFI - Dow Jones et awp/afp.
Dans son communiqué, la Securities and Exchange Commission (SEC), qui a infligé des amendes de 35 millions de dollars à BNP Paribas, la Société Générale et 9 autres banques, précise en effet que « leurs employés communiquaient souvent via diverses plateformes de messagerie sur leurs appareils personnels, notamment iMessage, WhatsApp et Signal, au sujet des activités de leurs employeurs » et ce, « en violation des lois fédérales » qui obligent les banques à pouvoir conserver les messages de leurs employés afin de pouvoir les mettre à disposition des autorités.
La Commodity Futures Trading Commission (CFTC), chargée de la régulation des bourses de commerce et qui a infligé des amendes de 75 millions de dollars aux deux banques françaises, ainsi qu'à Wells Fargo et la Banque de Montréal, leur reproche également de ne pas avoir « empêché leurs employés, y compris ceux des niveaux supérieurs, de communiquer à la fois en interne et en externe en utilisant des méthodes de communication non approuvées, y compris des messages envoyés par SMS ou WhatsApp ».
La CFTC précise avoir d'ores et déjà imposé 1,091 milliard de dollars en sanctions pécuniaires civiles à 18 institutions financières « pour leur utilisation de méthodes de communication non approuvées » depuis décembre 2021, et la SEC 1,5 milliard de dollars, « pour faire passer ce message fondamental ».
Commentaires (20)
#1
Merci pour cette brève. Cela aurait été intéressant d’avoir le montant final pour chacune des deux banques françaises impliquées.
Cordialement
Edit : en allant voir les articles en liens et en relisant la brève, je comprends mieux mais la formulation me semble un peu alambiquée. BNP à payé 35 M€ à la SEC et 75 M€ à la CFTC, soit 110 M€ en tout. Et de même, la SG a payé les mêmes montants aux mêmes organismes.
#2
Comment il est possible d’empêcher les gens de communiquer entre eux quand ils utilisent leur appareil personnel ?
Autant sur les postes pros, on peut filtrer les applications mais les persos …
#2.1
Company Enrollment.
Intunes permet le blocage d’une application sur un BYOD enregistré. Si pas enregistré pas accès aux données de la boite.
Après je sais pas comment ça s’est passé entre ces employés et leurs boites. Personnellement, j’ai des éléments de mon contrat qui disent:
A voir comment la loi US permet ce type de chose.
#2.4
C’est dit dans l’article :
Donc, des discussions d’ordre professionnelle sur des équipements personnels, avec des comptes personnels.
J’ai un peu de mal à voir comment un employeur pourrait contrôler ça, sauf à prendre le contrôle de l’ensemble des équipements et comptes de l’ensemble de ses employés. Pas sûr que ça soit conforme à la législation… La seule solution devient la formation, qui existe déjà et ne garantit rien, même avec des sanctions disciplinaires à la clé.
#2.6
Bah tu ne peux pas.
Par contre en avoir connaissance et laisser faire c’est une autre chose.
#2.7
Un employé, à fortiori d’une banque, n’est pas censé communiquer avec un client avec des outils et un contexte d’usage non approuvés par la banque, selon moi?
D’ailleurs un client ne peut pas envoyer de courriel à son conseiller, il doit passer par la messagerie sécurisée du portail de la banque après authentification?
Donc plutôt que d’empêcher l’employé d’utiliser son application, c’est plus simple d’exclure toute forme d’échanges incluant les demandes et réponses hors contexte approuvé par la banque?
Je me trompe peut être mais je travaille pas dans le milieu bancaire..
#2.8
Ce qui est en cause est principalement des échanges entre employés si j’ai bien compris, pas avec des clients.
#2.9
un employé d’une banque n’est effectivement pas censé communiquer sur des sujets d’ordre professionnel en dehors des outils fournis par son employeur, les formations reçues sont très claires là-dessus.
De même, les formations internes sont aussi très claires sur les risques encourus suite à une discussion au bistrot ou un écran un peu trop visible dans un train, par exemple - pour ça que le télétravail n’est en général autorisé qu’au domicile de l’employé ou dans des centres de télétravail internes à la banque, mais certainement pas dans un lieu public (voir le commentaire de SebGF un peu plus haut).
Ceci étant, une fois ces formations faites, je ne vois aucun moyen pour l’employeur d’empêcher ses salariés de discuter sur WhatsApp, sans prendre un contrôle total de leur environnement numérique. En ce sens, Je comprends bien l’intérêt de cette réglementation, mais en l’état actuel des outils et du droit elle me paraît difficilement applicable - sauf si l’organe de contrôle se contente d’exiger un effort de formation. Ça ne semble pas être le cas, vu que cet effort est effectivement réalisé.
#2.10
L’employé est lié contractuellement à un devoir de confidentialité sur son activité professionnelle qui l’interdit d’échanger via des outils de communications avec ses collègues si l’employeur (la banque au sens générale) est le sujet..
Donc, ca veut dire que l’employeur peut exiger du salarié la copie authentifiée des échanges avec ses collègues au travers d’un outils afin de prouver qu’il n’y aucune discussion concernant la banque.
Ca ne me semble pas possible et ce serait un précédent non?
#2.5
Vous ne répondez pas à la question.
#2.2
Je doute qu’il soit question d’empêcher, vu que c’est impossible.
Mais il faut faire régulièrement des rappels, fournir les outils nécessaires, vérifier que c’est fait correctement et sanctionner quand ce n’est pas le cas. Si tu fais ça, ce sont les gens qui seront responsables en cas d’infration, mais si tu ne le fais pas, c’est la société qui sera responsable.
#2.3
Il existe d’autres logiciels de MDM (Mobile Device Management) que Microsoft Intune.
Ce sont des logiciels qui embarquent une partie applis autorisées professionnelles qui peuvent être effacées à la demande (lors d’un vol du smartphone, ou lors d’un départ d’un employé de la société (licenciement, départ à la retraite, …).
Voir ce topo pédagogique d’IBM en Français : https://www.ibm.com/fr-fr/topics/mobile-device-management
#3
Du coup, ils doivent aussi les empêcher de discuter à l’oral à moins d’être enregistrés via des micros ?
#4
C’est initialement BlackBerry qui avait inventé ce genre de logiciels (Mobile Device Management), puis Apple, Microsoft, IBM et les autres ont suivis.
#5
Maitriser les conversations de ses employés en dehors du cadre de l’entreprise me paraît irréaliste. Et pourtant c’est bien un moyen de fuite d’informations.
Il suffit de prendre un train pour compter le nombre de personnes qui travaillent dedans avec un PC sans filtre anti regards indiscrets ou encore des employés d’une même société discuter ouvertement en public d’un plan business sans avoir conscience qu’un concurrent peut les écouter.
Mais à part de la sensibilisation, il est illusoire de penser pouvoir réguler ça.
#6
c’est vraiment dommage que le plus important ne soit pas précisé :
s’agit il des filiales américaines, sur le sol USA, des banques citées?
ou s’agit-il de services ailleurs qu’aux usa, épinglés pour cause d’extraterritorialité américaine?
#7
Les liens cités indiquent qu’il s’agit de filiales américaines.
#8
Merci. Ca change tout en effet.
#9
Ce qui est reproché également, c’est que cela concerne aussi des gens haut placés dans la hiérarchie de l’entreprise qui auraient dû davantage respecter les procédures (« The failures involved employees at multiple levels of authority, including supervisors and senior executives. »).
#10
Bien-sûr, une excuse pour gratter de l’argent sur les banques françaises, les USA se moquent de nous .
En passant ces américains non natifs ont signer un accord avec le Niger pour qu’on ne touche pas a la base américaine et intérêt américain mais rien sur les intérêts français dans l’accorf pour nous dégagé.
!“(;€”+“!