BYOD & Protection des données.

En quoi consiste le « BYOD » ?

Le « BYOD » est une pratique qui consiste pour les salariées à apporter leurs interfaces numériques (smartphones, tablettes, ordinateurs portables…) sur leur lieu de travail et à les utiliser dans l’exercice de leurs fonctions professionnelles.

L’employeur a-t-il accès aux terminaux personnels de ses salariés lorsque ceux-ci les utilisent dans le cadre de leurs fonctions ?

La question du BYOD ne s’étant posée que récemment, l’étendu du pouvoir de consultation de l’employeur, n’est pas encore clairement définie que ce soit dans la loi ou la jurisprudence.

Les choses sont simples lorsque le salarié utilise le matériel mis à sa disposition par son employeur. En effet, selon la Cour de cassation, « les dossiers et fichiers créés par un salarié grâce à l’outil informatique mis à sa disposition par son employeur pour l’exécution de son travail sont présumés, sauf si le salarié les identifie comme étant personnels, avoir un caractère professionnel » (Cass. soc. 18 octobre 2006, n° 04-48025).

En ce qui concerne le BYOD, la jurisprudence n’en est qu’à ses tout débuts et n’a eu que peu d’occasions de se prononcer. Ainsi dans une décision du 23 mai 2012, la chambre sociale de la Cour de cassation a considéré que « l’employeur ne pouvait procéder à l’écoute des enregistrements réalisés par la salariée sur son dictaphone personnel en son absence ou sans qu’elle ait été dûment appelée ».

Plus récemment, en date du 12 février 2013 (n° de pourvoi : 11-28649), la même chambre sociale a considéré « qu’une clé USB, dès lors qu’elle est connectée à un outil informatique mis à la disposition du salarié par l’employeur pour l’exécution du contrat de travail, étant présumée utilisée à des fins professionnelles, l’employeur peut avoir accès aux fichiers non identifiés comme personnels qu’elle contient, hors la présence du salarié ».

En l’absence de textes législatifs et en raison de la rareté des décisions de justice en rapport avec le « BYOD », les entreprises doivent gérer le flou juridique.

La nécessité d’une charte informatique :

Dans ce contexte, l’adoption d’une charte informatique, intégrée au règlement intérieur ou au contrat de travail, s’avère primordiale.
A titre d’exemples, la charte permet d’encadrer les points suivants :

 Les obligations de sécurité incombant aux salariés (antivirus, mots de passe …).

 Les modalités d’accès de l’employeur aux données professionnelles contenues dans le terminal.

 Les modalités de reprise des données professionnelles en cas de départ du salarié, de perte ou de vol du matériel.

Quelles sont les risques pour les entreprises ?

Le risque majeur pour l’entreprise est sans nul doute celui de la sécurité et de la fuite d’informations sensibles. L’utilisation galopante de terminaux mobiles par les employés à des fins professionnelles, pousse les responsables informatiques à tout tenter pour marier sécurité et mobilité, le but étant d’assurer l’accès des terminaux n’appartenant pas à l’entreprise, au système d’information de celle-ci en toute sécurité.

Beaucoup d’entreprises subordonnent l’utilisation de terminaux personnels à l’installation d’un logiciel de « Mobile Device Management » ou de « Gestion de Terminaux Mobiles ». Ce dernier permet notamment :

 D’effacer à distance des données contenues dans le terminal mobile, ce qui peut être utile en cas vol.

 De restreindre l’utilisation de certaines applications

N.B. La mise en place d’un tel logiciel implique la collecte des données à caractère personnel des salariés propriétaires des terminaux mobiles, ce qui suppose de se conformer aux exigences de la loi Informatique et Libertés du 6 janvier 1978.

Que dit l’agence nationale de la sécurité des systèmes d’information ?

L’ANSSI déconseille aux entreprises d’avoir recours au « BYOD ». Elle considère que les solutions actuelles de protection des données sont insuffisantes, comme par exemple celles proposant des outils de séparation hermétique entre environnement personnel et professionnel au sein d’un même terminal.

L’agence a publié des recommandations de sécurité relatives aux ordiphone [1] dans une note technique publiée le 19 juin 2013. Elle précise néanmoins que ses consignes, qui sont au nombre de 21, ne permettent pas d’assurer une protection optimale des données.

Parmi ces recommandations, citons :

 La configuration d’une durée d’expiration du mot de passe de 3 mois maximum.

 Ne pas laisser le terminal sans surveillance même s’il est verrouillé, évitant ainsi tout accès qu’il soit temporaire ou non à un terminal mobile.

 Si le terminal contient des informations sensibles, mettre en place un mot de passe fort en remplacement des méthodes de déverrouillage par défaut.

 Limiter le nombre de tentatives de déverrouillage, puis configurer un temps de blocage de plus en plus long ainsi qu’un effacement automatique après une dizaine de tentatives ayant échoué.