Dans certains domaines d'activité, les entreprises sont contraintes de vérifier les e-mails sortants pour s'assurer du respect de certaines législations spécifiques, comme celles définies pour les banques par l'accord sur les fonds propres Bâle II. Les sociétés de ces secteurs réglementés sont censées s'assurer que des contenus confidentiels ne sont pas conservés en local sur des postes de travail. « Nous sommes dans un vrai projet d'entreprise, avec un axe plutôt organisationnel. Il n'est pas encore question de parler de produit », dit Anthony Moillic, directeur technique de la division Microsoft chez Quest Software.

Ce que confirme par l'exemple Yves Leroux, spécialiste de la sécurité chez Computer Associates : « Avant de se lancer, un important travail préparatoire est à réaliser pour identifier les informations qui doivent être recherchées. Tel laboratoire d'analyses pourra vouloir éviter que des numéros de sécurité sociale apparaissent dans des e-mails destinés à l'extérieur. Sauf s'ils sont accompagnés de certains mots-clés - par exemple, le nom d'un médecin traitant. » Un audit important doit donc être effectué avant de filtrer le courrier sortant.

Ensuite, l'entreprise déploie les outils capables d'appliquer cette politique de sécurité. Les produits ont trois tâches principales : filtrer les messages sortants à la recherche de mots-clés spécifiques ; archiver et consolider les messages personnels dans une base commune à l'entreprise ; et analyser cette base pour s'assurer que l'ensemble du courrier correspond bien à sa politique de sécurité. « Dans les faits, cette masse d'information devient l'histoire de la société. Il faut donc faire très attention à ce que l'on archive », poursuit Anthony Moillic. D'où la nécessité de différencier deux types d'archivage. L'un est opérationnel. C'est une simple consolidation des bases personnelles, qui peut être purgé à l'occasion. L'autre est légal. Il concerne 100 % des e-mails de certains VIP de l'entreprise.

Dans cette démarche, l'aspect légal est très important. La cour d'appel de Bordeaux a, dans un arrêt du 4 juillet 2003, décidé que les messages envoyés et reçus par un salarié à une adresse électronique générique de l'entreprise dans le cadre de son travail, consultables sur son seul poste, ont le caractère de messages personnels soumis au secret de la correspondance. Et maître Murielle Cahen, avocate spécialisée dans le droit numérique, de résumer : « Certes, l'entreprise a le droit de surveiller l'usage qui est fait de son investissement informatique. Mais, par ailleurs, elle doit respecter le droit à la communication privée de ses employés. »

Dans les faits, donc, puisque tout message peut être personnel, le contrôle demeure délicat. L'entreprise doit se faire aider sur le plan juridique, car cela peut vite se transformer en casse-tête. Surtout pour les sociétés présentes à l'international.