Bring your own device : DRH, comment se doter d’une politique de protection des données efficace et équilibrée ?

Publié le - Mise à jour le

Voir toutes les actualités

Dans cette chronique, Sabine de Paillerets et Mélanie Chrétienne, respectivement associée du département droit social et avocate collaboratrice au sein du cabinet BCTG Avocats, analysent les enjeux et les points de vigilance du BYOD ("Bring your own device"), pratique permettant aux salariés d'utiliser leur propre matériel informatique à des fins professionnelles.

Si parmi les obligations légales à la charge de l’entreprise, figure celle de fournir à ses salariés, les moyens nécessaires à l’exécution de leurs tâches, l’employeur conserve tout de même la possibilité de les autoriser à utiliser leur matériel informatique personnel (smartphone, ordinateur portable, tablette électronique) à des fins professionnelles.

Cette pratique que l’on constate depuis plusieurs années est désignée par l’acronyme "BYOD" ou « Bring your own device ». En France, elle est également identifiée par l’acronyme AVEC : "Apportez votre équipement personnel de communication".

Avec l’amélioration des réseaux internet privés, la généralisation de l’utilisation des smartphones et des tablettes et le développement du télétravail, de nombreux salariés, mais également des employeurs, sont séduits par cette pratique qui permet aux salariés une plus grande flexibilité et un plus grand confort [réduction du nombre de terminaux utilisés par les salariés] dans leur organisation de travail et peut représenter une économie non négligeable pour l’employeur.

Cependant, cette pratique en pleine expansion a aussi pour conséquence de brouiller un peu plus la frontière entre vie professionnelle et vie personnelle et présente également des risques en matière de sécurité informatique pour l’entreprise.Dans un tel contexte, l’employeur se doit d’appréhender la mise en œuvre d’une politique "BYOD" avec prudence afin d’anticiper et gérer les risques à la fois relatifs à la sécurité des données de l’entreprise mais aussi à la protection de la vie privée du salarié connecté, et ce dans le respect de la règlementation en vigueur, notamment en matière de traitement des données à caractère personnel.

La mise en place du BYOD doit être précédée d’un état des lieux complet des pratiques, des outils et des contraintes légales et techniques au sein de l’entreprise

Afin de mettre en place et d’encadrer la pratique du BYOD, la politique à mettre en œuvre devra être le fruit d’une discussion concertée entre les différents services de l’entreprise concernés par ses divers aspects tels que notamment les services RH, juridique et informatique.

Il est conseillé de réaliser un état des lieux complet qui permettra d’affiner le choix du dispositif le plus approprié à l’entreprise ainsi que ses destinataires, ses supports mais aussi la gestion du dispositif avant, pendant et après sa mise en œuvre.

L’entreprise doit d’abord s’interroger sur le type de personnel auquel cette pratique pourra s’adresser : est-il opportun en effet d’en faire bénéficier les commerciaux qui communiqueront donc avec la clientèle via leur téléphone ou terminaux personnels, ce qui pourrait générer des difficultés notamment au moment de la rupture ou en cas de suspension du contrat de travail (suppression des données relatives aux clients, suivi de gestion des comptes clients….) ?

La société devra ensuite déterminer les supports (smartphones, tablettes, ordinateurs portables, objets connectés portables) auxquels seront appliqués le dispositif du BYOD et le type de données appartenant à l’entreprise auxquelles les salariés auront accès. L’employeur devra aussi s’interroger sur le type de données et de contenus privés auxquels il devra avoir accès pour assurer un bon fonctionnement du BYOD.

L’analyse de l’environnement juridique de l’entreprise sera également nécessaire afin de déterminer les règles auxquelles la société devra se conformer mais également déterminer les ajustements éventuels des règles internes qui devront intervenir. Sera-t-il nécessaire d’établir ou modifier la charte informatique, de modifier le règlement intérieur, de modifier le document unique d’évaluation des risques ?  Il sera également indispensable de prévoir l’implication des représentants du personnel au travers des consultations du CSE et les modalités d’information des salariés.

L’une des réflexions majeures sera néanmoins liée à la détermination des besoins en matière de sécurité et des contraintes techniques entourant la mise en œuvre du BYOD : l’entreprise utilisera-t-elle une application, un VPN ? Quelles seront les mesures de sécurité nécessaires pour assurer l’intégrité du réseau de l’entreprise (enregistrement et authentification des utilisateurs, techniques de confinement, chiffrement des flux….)

Au titre de la sécurité du système d’information de l’entreprise et du nécessaire maintien du pouvoir de direction et de contrôle de l’employeur, ce dernier doit pouvoir accéder au contenu professionnel stocké dans les équipements informatiques personnels de ses salariés utilisant un dispositif de BYOD. L’employeur est en effet responsable de la sécurité des données de son entreprise, quel que soit le type de support sur lequel elles se trouvent, y compris lorsqu’elles sont stockées sur des terminaux dont il n’a ni la maîtrise physique ni la maîtrise juridique, mais dont il a autorisé l’utilisation pour accéder aux ressources informatiques de l’entreprise.

S’agissant ainsi de risques contre lesquels l’entreprise doit se prémunir, il peut s’agir d’une simple atteinte ponctuelle à la disponibilité jusqu’à la compromission générale du système d’information de l’entreprise (intrusion, virus, chevaux de Troie, etc.) tout en passant par la violation de l’intégrité et de la confidentialité des données de l’entreprise (1). Afin, de les réduire, il convient tout d’abord de les identifier en prenant en compte l’ensemble des éléments de la politique en matière de BYOD c’est-à-dire au regard des supports qui seront autorisés à recevoir des données professionnelles, du type de données mise à disposition dans ce cadre et des moyens techniques que l’entreprise souhaite mettre en œuvre (2).

Toutefois, si la sécurité des données de l’entreprise doit être assurée, l’employeur doit conserver à l’esprit que les mesures de sécurité mises en place ne peuvent avoir pour objet ou pour effet d’entraver l’utilisation privée de son terminal par le salarié. En effet, il est essentiel pour l’employeur d’assurer la protection de la vie privée de ses salariés utilisant un dispositif de BYOD.

Comment concilier la sécurité des données de l’entreprise et la protection de la vie privée du salarié connecté ?

Selon une formule imagée, "le travailleur connecté amène son travail à la maison mais il peut aussi amener sa famille et ses amis au travail (3). L’employeur doit donc prendre les mesures techniques et organisationnelles appropriées dans le cadre de la mise en œuvre et de la gestion du dispositif de BYOD afin de préserver la vie privée des travailleurs.

La difficulté est donc réelle puisque l’employeur va devoir à la fois sécuriser les données de l’entreprise sans pour autant avoir la main ou tout du moins un réel contrôle sur l’équipement personnel du salarié. Les solutions vont donc être avant tout techniques.

Certaines solutions visent ainsi à créer des "bulles sécurisées" qui vont placer toutes les applications professionnelles dans une application sécurisée séparée des applications personnelles. Il y a une véritable séparation entre les données personnelles et les applications professionnelles : le contrôle de l’employeur sur le terminal du salarié sera restreint. Ces solutions impliquent toutefois que l’employeur ait accès à certaines données relatives aux terminaux (version iOS, numéro IMEI, adresse IP…)

Grâce à ces bulles, dans l’hypothèse où un salarié serait amené à quitter l’entreprise ou même en cas de panne ou de perte du terminal personnel, un effacement à distance sera possible et ne concernera que la partie du terminal personnel spécifiquement dédiée à l’accès aux ressources de l’entreprise.

Les autres solutions que doit envisager l’employeur afin de préserver la vie personnelle des salariés sont organisationnelles et règlementaires. Il s’agit notamment de se doter de règles de déconnexion claires et largement diffusées interdisant ou limitant l’utilisation des terminaux personnels à des fins professionnelles en dehors des temps de travail.

Un suivi des connexions des salariés aux espaces dédiés ou bulles de sécurité pourrait être envisagé sous réserve qu’un tel contrôle ait donné lieu aux consultations et informations nécessaires des représentants du personnel et des salariés.

Ainsi, si des solutions existent pour limiter l’intrusion de l’employeur dans la vie privée des salariés connectés par un dispositif de BYOD, l’accès par ce dernier à des données et informations personnelles est inévitable. Il appartient donc aux entreprises dans ce cadre de se conformer aux règlementations en matière de données personnelles.

Quelles sont les obligations de conformité vis-à-vis de la réglementation en matière de traitement de données à caractère personnel ?

Avec l’entrée en vigueur du Règlement général sur la protection des données (RGPD) le 25 mai 2018, la question de la conformité du traitement des données personnelles induit par l’utilisation de dispositif BYOD s’ajoute à celle de la sécurité des données de l’entreprise.

En effet, le RGPD a pour objectif d’uniformiser et de renforcer la règlementation relative à l’utilisation des données personnelles des professionnels dans l’ensemble des pays européens. Son article 5.1 précise que les données personnelles doivent être traitées de manière licite, loyale et transparente, collectées à des fins déterminés, explicites et légitimes), adéquates, pertinentes et limitées, exactes et tenues à jour, conservées pendant une durée raisonnable et enfin, traitées de façon à garantir leur protection. 

En termes de BYOD, le respect du RGPD participera à la protection efficace de la vie privée des salariés, puisque le salarié devra être informé au préalable du traitement de ses données personnelles. En effet, l’utilisation d’un dispositif de BYOD implique que l’employeur puisse accéder au contenu professionnel stocké dans le terminal personnel du salarié, ce contenu intégrant des données personnelles. Surtout, l’employeur peut également accéder à certains contenus relevant de la vie privée du salarié dans le cadre de la gestion du BYOD.

L’obligation de se conformer au RGPD va contraindre l’employeur à définir et communiquer au salarié les données personnelles auxquelles il pourra avoir accès dans ce cadre.  L’employeur devra limiter cet accès aux seuls éléments nécessaires au traitement et à la gestion du BYOD en s’interrogeant en amont sur la finalité de chaque donnée collectée afin qu’elles répondent aux critères du RGPD.

Compte tenu des contraintes et des risques en matière de sécurité que représente la mise en œuvre d’un dispositif de BYOD, cette pratique devrait rester en général complémentaire aux flottes de matériels d’entreprise fournis aux salariés. Néanmoins, eu égard à sa praticité, le dispositif du BYOD ne devrait pas être négligé par les employeurs et s’adressera essentiellement aux salariés volontaires. Les politiques et chartes de l’entreprise devront tenir compte de cette allocation entre outils professionnels et privés et être adaptées en conséquence. A l’aune d’une époque où les données personnelles contenues dans les systèmes d’information des entreprises sont un enjeu majeur du développement de celles-ci, les outils juridiques RH devront faire preuve de conformité et clarté sous peine de voir les entreprises perdre le contrôle de leurs données.   

 

(1) BYOD : quelles sont les bonnes pratiques ?, Cnil.

(2) BYOD : quelles sont les bonnes pratiques ?, Cnil.

(3) "Travailleurs connectés : les effets pervers du BYOD", Sécurité et conditions de travail, Editions Législatives, 14 août 2014.

Sabine de Paillerets et Mélanie Chrétienne

Formations qui pourraient vous intéresser

tealium