BYOD : quelles sont les bonnes pratiques ?
Avec le développement du BYOD, la frontière entre vie professionnelle et personnelle s’efface. La CNIL rappelle les bonnes pratiques permettant de concilier sécurité des données de l’entreprise et protection de la vie privée du salarié connecté.
Qu’est-ce que le « Bring Your Own Device » (BYOD) ?
L’acronyme « BYOD » est l’abréviation de l’expression anglaise « Bring Your Own Device » (en français : « Apportez Votre Equipement personnel de Communication » ou AVEC), qui désigne l'usage d'équipements informatiques personnels dans un contexte professionnel.
Il peut s’agir par exemple d’un employé qui, pour se connecter au réseau de l’entreprise, utilise un équipement personnel comme son ordinateur, sa tablette ou son smartphone.
La possibilité d’utiliser des outils personnels relève avant tout d’un choix de l’employeur qui peut tout aussi bien l’autoriser sous conditions, ou l’interdire.
Si le Code du travail demande à l’employeur de fournir à ses employés les moyens nécessaires à l’exécution de leurs tâches professionnelles, il n’interdit pour autant pas à l’employeur de permettre l’utilisation des moyens personnels des employés, souvent perçus comme plus agréables à utiliser.
Cette décision devra cependant être prise après avoir minutieusement mis en balance les intérêts et les inconvénients présentés par cet usage qui brouille la frontière entre vie personnelle et vie professionnelle.
L’employeur est responsable de la sécurité des données personnelles de son entreprise, y compris lorsqu’elles sont stockées sur des terminaux dont il n’a pas la maîtrise physique ou juridique, mais dont il a autorisé l’utilisation pour accéder aux ressources informatiques de l’entreprise.
Les risques contre lesquels il est indispensable de se prémunir vont de l’atteinte ponctuelle à la disponibilité, l’intégrité et la confidentialité des données, à la compromission générale du système d’information de l’entreprise (intrusion, virus, chevaux de Troie, etc.).
Comment réduire ces risques ?
Par exemple :
La sécurité du système d’information de l’entreprise et le nécessaire maintien du pouvoir de direction et de contrôle de l’employeur doivent être conciliés avec le respect de la vie privée des employés qui utilisent des équipements personnels dans le cadre de leur activité professionnelle. Par exemple, il n’est pas possible de prévoir des mesures de sécurité ayant pour objet ou effet d’entraver l’utilisation d’un smartphone dans un cadre privé, au motif que cet équipement peut être utilisé pour accéder aux ressources de l’entreprise (interdire la navigation sur internet, le téléchargement d’applications mobiles).
De telles restrictions pourraient difficilement être considérées comme justifiées par la nature de la tâche à accomplir et proportionnées au but recherché.
De la même manière, l’employeur ne peut pas accéder à des éléments relevant de la vie privée stockés dans l’espace personnel de l’équipement (liste des sites internet consultés, photos, films, agenda, annuaire). Il doit cependant pouvoir accéder au contenu professionnel stocké dans ce terminal.
Si l’employeur peut prévoir un effacement à distance de la partie du terminal personnel spécifiquement dédiée à l’accès distant aux ressources de l’entreprise, il ne peut en revanche s’arroger le droit d’effacer à distance l’ensemble des données présentes sur le terminal de l’employé.
Le BYOD n’est pas un « traitement de données à caractère personnel » en soi. C’est un moyen technique particulier, sur lequel reposent des traitements. De ce fait, recourir au BYOD ne change pas les obligations auxquelles les traitements métiers sont soumis (inscription au registre des traitements et, le cas échéant, analyse d’impact relative à la protection des données).
Cet article provient de Le cahier de textes de Patrick RICHARD professeur de Technologie 1985 à 2024
L'url pour cet article est :
https://patrickrichard.eu/sections.php?op=viewarticle&artid=157