La mobilité a pénétré le cœur de l’entreprise et bouleversé les habitudes. De plus en plus de salariés utilisent ainsi leurs Smartphones, tablettes ou ordinateurs personnels pour se connecter sur les Systèmes d’Information (SI) de leur Société.
Ce phénomène, appelé BYOD (Bring Your Own Device) ne va toutefois pas sans poser quelques difficultés ; tant au regard de la sécurité que de la responsabilité.
Apporter son matériel personnel sur son lieu de travail pour se connecter au réseau de l’entreprise soulève un certain nombre de risques pour l’entreprise et pose, en l’absence de jurisprudence spécifique à cette pratique, de nombreuses questions de responsabilité.
Les risques portent tout d’abord sur la sécurité du réseau de l’entreprise. En effet, les mécanismes de protections instaurés sur les outils professionnels ne se retrouvent pas nécessairement inclus dans les appareils personnels des salariés. En outre, les appareils concernés sont particulièrement hétérogènes et fonctionnent selon différents types de systèmes d’exploitation (IOS, Android, Windows Phone 8).
Un anti virus est-il installé ? Faut-il imposer une telle installation au salarié ou encore le former pour le faire ? La licence de l’entreprise suffit-elle ? Qui est responsable en cas d’intrusion dans le SI de l’entreprise lorsque cette intrusion provient d’une faille du terminal personnel du salarié ? Il sera en pratique difficile d’imposer au salarié d’installer un anti virus sur son terminal personnel. De même faute d’intention de nuire, la responsabilité civile du salarié sera vraisemblablement rejetée en cas d’intrusion via son terminal, laissant l’entreprise et son département informatique seuls responsables et particulièrement fragilisés.
En outre, la sécurité des SI n’est pas le seul risque généré par le BYOD. Ainsi, le comportement du salarié sur internet, même par le biais de son mobile privé, peut également porter atteinte à l’entreprise en cas de téléchargement de fichiers illégaux par exemple. L’entreprise pourra en effet être inquiétée pour manquement à son obligation de surveillance des connexions internet si les ayant droit venaient à agir en contrefaçon.
Le BYOD menace aussi la confidentialité des données de l’entreprise. Puisque le salarié accède au réseau de l’entreprise par le biais de son mobile personnel, certaines données seront stockées le cas échéant sur ce même terminal (mails, fichiers…). Dans ce cas, la question de la propriété et de la confidentialité de ces données pourrait être amenée à se poser…. Tout comme la question de la sécurité de leur stockage : que faire en effet lorsqu’un mobile perdu est récupéré par un tiers malveillant.
Des solutions techniques existent. Par exemple les solutions de « Mobile Device Management » (les MDM) sont proposées pour permettre d’encadrer le BYOD. Il s’agit de permettre à l’entreprise de mettre à jour à distance les mobiles, de contrôler l’activité du parc de terminaux ou d’en prendre le contrôle à distance afin de les dépanner. Cependant, ces solutions peuvent difficilement être mises en place sans un accord préalable du salarié puisqu’elles visent à s’appliquer à un outil personnel.
L’imbrication de la sphère privée et de la sphère professionnelle est en effet ici particulièrement problématique.
Puisque données personnelles et données professionnelles sont réunies au sein d’un même terminal, la protection par l’entreprise de ces données devra se faire au regard du respect de l’intimité du salarié, et notamment du secret de ses correspondances.
Un encadrement juridique du BYOD est donc nécessaire afin de sécuriser au mieux le système d’information de l’entreprise. Cet encadrement peut prendre deux formes : l’insertion de clauses spécifiques dans le contrat de travail et surtout la modification de la charte informatique de l’entreprise.
La charte doit ainsi :
– Organiser la protection des appareils mobiles personnels des salariés (antivirus, antispam, pare-feu)
– Organiser les mesures de contrôle (voire de suppression) des données professionnelles sur le mobile privé du salarié
– Déterminer les règles de propriété et d’accès aux données professionnelles contenues dans le mobile personnel
– Encadrer le comportement sur internet (consultation de sites, téléchargement de fichiers) du salarié connecté au réseau de l’entreprise par le biais d’un mobile personnel.
La rédaction de cette charte doit être confiée à un professionnel du droit qui sera le plus à même de garantir la protection juridique de l’entreprise. Et puisqu’une entreprise avertie en vaut deux …