Avec le développement du BYOD, la frontière entre vie professionnelle et personnelle s’efface. La CNIL rappelle les bonnes pratiques permettant de concilier sécurité des données de l’entreprise et protection de la vie privée du salarié connecté.
Qu’est-ce que le « Bring Your Own Device » (BYOD) ?
L’acronyme « BYOD » est l’abréviation de l’expression anglaise « Bring Your Own Device » (en français : « Apportez Votre Equipement personnel de Communication » ou AVEC), qui désigne l’usage d’équipements informatiques personnels dans un contexte professionnel.
Il peut s’agir par exemple d’un salarié qui, pour se connecter au réseau de l’entreprise, utilise un ordinateur, une tablette ou son smartphone personnel.
Les outils personnels ne peuvent être utilisés qu’à titre subsidiaire dans un cadre professionnel
Le droit du travail impose à l’employeur de fournir à ses employés les moyens nécessaires à l’exécution de leurs tâches professionnelles.
L’utilisation d’outils informatiques personnels à des fins professionnelles ne permet pas de s’affranchir de cette obligation.
Quelles mesures prévoir pour la sécurité des données ?
L’employeur est responsable de la sécurité des données personnelles de son entreprise, y compris lorsqu’elles sont stockées sur des terminaux dont il n’a pas la maîtrise physique ou juridique, mais dont il a autorisé l’utilisation pour accéder aux ressources informatiques de l’entreprise.
Les risques contre lesquels il est indispensable de se prémunir vont de l’atteinte ponctuelle à la disponibilité, l’intégrité et la confidentialité des données, à la compromission générale du système d’information de l’entreprise (intrusion, virus, chevaux de Troie, etc.).
Comment réduire ces risques ?
- identifier les risques, en tenant compte des spécificités du contexte (quels équipements, quelles applications, quelles données ?), et les estimer en termes de gravité et de vraisemblance.
- déterminer les mesures à mettre en œuvre et les formaliser dans une politique de sécurité.
Par exemple :
- cloisonner les parties de l’outil personnel ayant vocation à être utilisées dans un cadre professionnel (création d’une « bulle de sécurité ») ;
- contrôler l’accès distant par un dispositif d’authentification robuste de l’utilisateur (si possible à l’aide d’un certificat électronique, d’une carte à puce, etc.) ;
- mettre en place des mesures de chiffrement des flux d’informations (VPN, HTTPS, etc.) ;
- prévoir une procédure en cas de panne/perte du terminal personnel (information de l’administrateur réseau, mise à disposition d’un équipement alternatif professionnel, effacement à distance des données professionnelles stockées sur le terminal personnel) ;
- exiger le respect de mesures de sécurité élémentaires telles que le verrouillage du terminal avec un mot de passe conforme aux bonnes pratiques et l’utilisation d’un antivirus à jour ;
- sensibiliser les utilisateurs aux risques, formaliser les responsabilités de chacun et préciser les précautions à prendre dans une charte ayant valeur contraignante ;
- subordonner l’utilisation des équipements personnels à une autorisation préalable de l’administrateur réseau et/ou de l’employeur.
Quelles garanties pour la vie privée ?
La sécurité du système d’information de l’entreprise doit être conciliée avec le respect de la vie privée des employés qui utilisent des équipements personnels dans le cadre de leur activité professionnelle.
Par exemple, il n’est pas possible de prévoir des mesures de sécurité ayant pour objet ou effet d’entraver l’utilisation d’un smartphone dans un cadre privé, au motif que cet équipement peut être utilisé pour accéder aux ressources de l’entreprise (interdire la navigation sur internet, le téléchargement d’applications mobiles).
De telles restrictions pourraient difficilement être considérées comme justifiées par la nature de la tâche à accomplir et proportionnées au but recherché.
De la même manière, l’employeur ne peut accéder à des éléments relevant de la vie privée stockés dans l’espace personnel de l’équipement (liste des sites internet consultés, photos, films, agenda, annuaire).
Si l’employeur peut prévoir un effacement à distance de la partie du terminal personnel spécifiquement dédiée à l’accès distant aux ressources de l’entreprise, il ne peut en revanche s’arroger le droit d’effacer à distance l’ensemble des données présentes sur le terminal de l’employé.
Quelles formalités ?
Le BYOD n’est pas un « traitement de données à caractère personnel ». C’est un moyen technique particulier, sur lequel reposent des traitements.
De ce fait, recourir au BYOD ne change pas les obligations auxquelles les traitements métiers sont soumis (inscription au registre et, le cas échéant, demande d’avis, demande d’autorisation, analyse d’impact relative à la protection des données, etc.).
Source: CNIL
Si vous souhaitez nous aider, vous pouvez nous faire un don par bitcoin à l’adresse : 12J3mWpunJASd57Mjwfap4b6QvgWoCWmEq
2 Commentaires
On se plaint que de méchants pirates envahissent nos réseaux, mais on continue à utiliser des technologies fondamentalement non protégées…
Qui donc est le dindon de la farce?
En lisant les lignes de cet article de blog, j’ai compris l’importance des données professionnelles et surtout de la vie personnelle de mes salariés lorsqu’ils sont connectés pour le travail. J’ai donc décidé d’appliquer le BYOD pour permettre à mes employés d’éviter le pire. Une idée vraiment très intéressante !