Apportez votre équipement personnel de communication

Les entreprises sont de plus en nombreuses à miser sur la pratique du AVEC («Apportez votre équipement personnel de communication»), ou «BYOD» (Bring Your Own Device), qui consiste pour le salarié à utiliser au bureau ses propres équipements mobiles (ordinateur portable, netbook, smartphone, tablette…). Si entreprises et employés y voient tous deux des avantages – partage des coûts, disponibilité accrue, meilleures connaissances des appareils, etc. –, cette tendance n’en soulève pas moins certains problèmes sur le plan de la protection des données, en raison de la difficulté à séparer sphère privée et sphère professionnelle.

Lorsque le salarié utilise un appareil personnel sur son lieu de travail, il peut ne pas y avoir de séparation nette entre données privées et données professionnelles. Ainsi l'employeur qui cherche à accéder à des données professionnelles risque-t-il d'accéder sans le vouloir à des données privées, et par-là de se rendre coupable d'une atteinte à la personnalité.

A l'inverse, l'employeur court le risque de voir un tiers non autorisé accéder à des données si le salarié se connecte au réseau de l'entreprise pendant son temps libre (par ex. si l'appareil est également utilisé par un membre de la famille). Cet usage privé accroît également le risque d'une perte de données ou d'une utilisation à mauvais escient. A cela s'ajoute que certaines manipulations peuvent compromettre la sécurité des données, comme le débridage ou «jailbreaking» (déverrouillage des fonctionnalités du système d'exploitation sans autorisation). Enfin, une utilisation hors du lieu de travail qui empêcherait de faire des sauvegardes pourrait conduire à enfreindre certaines obligations de conservation des données.

Mesures de précaution

Si elle veut limiter les risques liés à la protection des données, une entreprise qui envisage d'autoriser la pratique du AVEC devrait notamment veiller aux points suivants:

  • prévoir un règlement d'utilisation (par ex. sous la forme d'une directive écrite) qui précise clairement ce qui est autorisé et ce qui ne l'est pas. Pour ce qui est de la protection des données, la pratique du AVEC est soumise aux mêmes conditions que celles qui régissent l'utilisation des équipements électroniques fournis par l'employeur.
  • séparer les données professionnelles et les données privées (sur les plans technique et logique)
  • garantir la sécurité des données (par ex. au moyen de techniques de cryptage, de mots de passe, etc.)
  • indiquer clairement où les données professionnelles doivent être enregistrées (si possible sur un serveur local)
  • désigner un responsable chargé d'accorder les autorisations nécessaires
  • réglementer l'accès par l'employeur au contenu de l'appareil (dans le cadre par ex. d'une vérification technique ou d'une opération de télémaintenance)

Au-delà des problèmes de protection des données, d'autres questions se posent: ainsi celles qui touchent au droit du travail, avec la disponibilité permanente des salariés ou le contrôle de leur temps de travail, ou encore les problèmes liés à l'utilisation des licences, les questions de responsabilité, etc.

Solutions alternatives

Le COPE (Corporate Owned Personally Enabled, soit «acheté par l'entreprise et utilisable personnellement»): à l'inverse du BYOD qui consiste à installer des applications professionnelles sur un appareil privé, le COPE consiste à mettre à la disposition des salariés des appareils appartenant à l'entreprise mais compatibles avec un usage personnel. L'entreprise choisit et achète les appareils, mais permet aux salariés d'y installer quelques applications personnelles et d'en faire un usage privé, tout en conservant la maîtrise des conditions d'utilisation et des dépenses qu'elle prend à sa charge.

 

Entre le BYOD et le COPE, le CYOD (Choose Your Own Device, soit «choisissez votre propre matériel») consiste pour l'entreprise à permettre au salarié de choisir un appareil parmi ceux qui figurent sur une liste approuvée (avec ou sans participation financière de l'entreprise). L'entreprise conserve par ailleurs la maîtrise de la configuration des appareils, le salarié n'étant pas autorisé à la modifier.

Citons enfin le BYOC (Bring Your Own Connection, soit «apportez votre propre connexion»), qui permet au salarié d'utiliser son portable comme hotspot pour partager la connexion internet, et le BYOS (Bring Your Own Software, soit «apportez votre propre logiciel»), pratique qui consiste à utiliser des applications portables installées sur le matériel professionnel et qui devrait être encadrée au niveau de l'entreprise.

Conclusions

La décision d'autoriser ses salariés à utiliser leurs appareils personnels sur le lieu de travail appartient entièrement à l'entreprise. Toutefois, avant d'autoriser cette pratique, nous l'invitons à peser soigneusement les avantages et les inconvénients de cette solution et d'une éventuelle solution de rechange. Nous considérons pour notre part que cette pratique n'est pas sans poser certains problèmes du point de vue de la protection des données, notamment en ce qui concerne la sécurité des données et la démarcation entre données privées et données professionnelles. Outre qu'il est techniquement difficile de séparer celles-ci, une séparation logique ne permettrait pas à elle seule de protéger efficacement les données professionnelles, pas plus qu'elle n'opposerait de barrière infranchissable à l'accès par l'employeur aux données privées du salarié. D'autres questions encore se posent dans ce contexte, concernant par ex. l'accès par l'employeur au contenu de l'appareil lorsque celui-ci doit faire l'objet d'une vérification ou d'une télémaintenance. Si l'employeur met lui-même à disposition des salariés les appareils (voir ci-dessus «Solutions alternatives»), il accroît considérablement sa marge de manœuvre sur ces questions, puisqu'il décide d'emblée des types d'appareils qu'il fournit, de l'usage que l'on peut en faire, de l'environnement logiciel et des applications qui seront installés dessus: c'est pourquoi nous recommandons de privilégier une telle solution.

https://www.edoeb.admin.ch/content/edoeb/fr/home/protection-des-donnees/telekommunikation/apportez-votre-equipement-personnel-de-communication.html