Comme vous le savez, le « BYOD » est un acronyme pour « Bring Your Own Device ». Concrètement il s’agit d’une pratique émergeante en entreprise qui consiste, pour les salariés, à utiliser leurs équipements informatiques personnels de type ordinateur portable, tablette ou encore smartphone, pour des besoins professionnels. Ces appareils peuvent ainsi être utilisés pour avoir accès à certaines informations ou applications professionnelles comme des bases de données client, des messageries.
Ce phénomène récent qui nous vient principalement des Etats-Unis commence à se propager en France. Si la majorité des entreprises restent encore méfiantes face à cette pratique, il faut savoir que la France est tout de même l’un des pays européens le plus tourné vers le BYOD.
Or la méfiance des entreprises n’est pas sans fondement. En effet, accepter qu’un salarié utilise son ordinateur personnel pour avoir accès au système d’informations de l’entreprise peut engendrer des risques importants en termes de sécurité. Il n’est pas rare par exemple que l’équipement personnel du salarié soit dépourvu de protection adaptée de sorte que son utilisation pourra permettre à des virus de s’introduire dans le système informatique de l’entreprise. En outre les risques de divulgation de données confidentielles sont importants.
L’employeur étant seul maître de son système d’information c’est à lui de décider s’il souhaite interdire ou au contraire organiser et contrôler le BYOD. En aucun cas un salarié ne peut imposer l’utilisation de ses appareils personnels dans le cadre de son activité professionnelle.
Dès lors que l’employeur décide d’autoriser cette pratique encore faut-il l’organiser, ce qui implique un minimum de contrôle des terminaux personnels des salariés. Or ce contrôle ne doit pas pour autant porter une atteinte disproportionnée à la vie privée du salarié.
Pour cette raison, la Commission nationale de l’informatique et des libertés française (CNIL) a émis une fiche pratique le 19 février 2015 sur les bonnes pratiques à adopter pour concilier sécurité des données de l’entreprise et protection de la vie privée des salariés.
Tout d’abord la CNIL rappelle que les outils informatiques personnels des salariés pour une utilisation professionnelle ne doivent pas être le seul mode d’accès des salariés au système d’information de l’entreprise. En effet, l’employeur a l’obligation de fournir les moyens nécessaires à l’exécution de leur tâches à ses salariés et cette utilisation ne doit donc être que subsidiaire. Il s’agit davantage d’un plus destiné à faciliter les choses pour le salarié.
La CNIL rappelle ensuite que l’employeur demeure responsable de la sécurité des données personnelles y compris lorsqu’elles sont stockées sur des terminaux personnels dès lors qu’il en a autorisé l’utilisation. C’est donc à lui de se prémunir contre les risques de sécurité, d’abord en les identifiant puis en formalisant les mesures nécessaires dans une politique de sécurité et en sensibilisant les salariés à ces risques.
Enfin et surtout, afin d’assurer la protection de la vie privée du salarié, l’employeur ne peut pas prendre n’importe quelle mesure. Il ne saurait donc accéder à des éléments relevant de la vie privée du salarié stockés sur le terminal.
En termes de formalités, la CNIL précise qu’aucune déclaration spéciale n’est nécessaire en cas de recours au BYOD, la déclaration normale de gestion du personnel ou la désignation d’un correspondant informatique et liberté suffit.
En conclusion, l’employeur qui choisit d’autoriser le BYOD doit à tout prix veiller à assurer la balance entre la sécurité de son système d’information d’un côté et la protection de la vie privée de ses salariés de l’autre par le biais de mesures proportionnées.