BYOD : quelles sont les bonnes pratiques ?

24 mars 2019

Avec le développement du BYOD, la frontière entre vie professionnelle et personnelle s’efface. La CNIL rappelle les bonnes pratiques permettant de concilier sécurité des données de l’entreprise et protection de la vie privée du salarié connecté.

Qu’est-ce que le « Bring Your Own Device » (BYOD) ?

L’acronyme « BYOD » est l’abréviation de l’expression anglaise « Bring Your Own Device » (en français : « Apportez Votre Equipement personnel de Communication » ou AVEC), qui désigne l'usage d'équipements informatiques personnels dans un contexte professionnel.

Il peut s’agir par exemple d’un employé qui, pour se connecter au réseau de l’entreprise, utilise un équipement personnel comme son ordinateur, sa tablette ou son smartphone.

La possibilité d’utiliser des outils personnels relève avant tout d’un choix de l’employeur qui peut tout aussi bien l’autoriser sous conditions, ou l’interdire.  

Si le Code du travail demande à l’employeur de fournir à ses employés les moyens nécessaires à l’exécution de leurs tâches professionnelles, il n’interdit pour autant pas à l’employeur de permettre l’utilisation des moyens personnels des employés, souvent perçus comme plus agréables à utiliser.

Cette décision devra cependant être prise après avoir minutieusement mis en balance les intérêts et les inconvénients présentés par cet usage qui brouille la frontière entre vie personnelle et vie professionnelle.

Quelles mesures prévoir pour la sécurité des données ?

L’employeur est responsable de la sécurité des données personnelles de son entreprise, y compris lorsqu’elles sont stockées sur des terminaux dont il n’a pas la maîtrise physique ou juridique, mais dont il a autorisé l’utilisation pour accéder aux ressources informatiques de l’entreprise.

Les risques contre lesquels il est indispensable de se prémunir vont de l’atteinte ponctuelle à la disponibilité, l’intégrité et la confidentialité des données, à la compromission générale du système d’information de l’entreprise (intrusion, virus, chevaux de Troie, etc.).

Comment réduire ces risques ?

  1. identifier les risques, en tenant compte des spécificités du contexte (quels équipements, quelles applications, quelles données ?), et les estimer en termes de gravité et de vraisemblance.
  2. déterminer les mesures à mettre en œuvre et les formaliser dans une politique de sécurité.

Par exemple :

  • cloisonner les parties de l’outil personnel ayant vocation à être utilisées dans un cadre professionnel (création d’une « bulle de sécurité ») ;
  • contrôler l’accès distant par un dispositif d’authentification robuste de l’utilisateur (si possible à l’aide d’un certificat électronique,  d’une carte à puce, etc.) ;
  • mettre en place des mesures de chiffrement des flux d’informations (VPN, HTTPS, etc.) ;
  • prévoir une procédure en cas de panne/perte du terminal personnel (information de l’administrateur réseau, mise à disposition d’un équipement alternatif professionnel, effacement à distance des données professionnelles stockées sur le terminal personnel) ;
  • exiger le respect de mesures de sécurité élémentaires telles que le verrouillage du terminal avec un mot de passe conforme aux bonnes pratiques et l’utilisation d’un antivirus à jour ;
  • sensibiliser les utilisateurs aux risques, formaliser les responsabilités de chacun et préciser les précautions à prendre dans une charte ayant valeur contraignante ;
  • subordonner l’utilisation des équipements personnels à une autorisation préalable de l’administrateur réseau et/ou de l’employeur.

Quelles garanties pour la vie privée ?

La sécurité du système d’information de l’entreprise et le nécessaire maintien du pouvoir de direction et de contrôle de l’employeur doivent être conciliés avec le respect de la vie privée des employés qui utilisent des équipements personnels dans le cadre de leur activité professionnelle. Par exemple, il n’est pas possible de prévoir des mesures de sécurité ayant pour objet ou effet d’entraver l’utilisation d’un smartphone dans un cadre privé, au motif que cet équipement peut être utilisé pour accéder aux ressources de l’entreprise (interdire la navigation sur internet, le téléchargement d’applications mobiles).

De telles restrictions pourraient difficilement être considérées comme justifiées par la nature de la tâche à accomplir et proportionnées au but recherché.

De la même manière, l’employeur ne peut pas accéder à des éléments relevant de la vie privée stockés dans l’espace personnel de l’équipement (liste des sites internet consultés, photos, films, agenda, annuaire). Il doit cependant pouvoir accéder au contenu professionnel stocké dans ce terminal.  

Si l’employeur peut prévoir un effacement à distance de la partie du terminal personnel spécifiquement dédiée à l’accès distant aux ressources de l’entreprise, il ne peut en revanche s’arroger le droit d’effacer à distance l’ensemble des données présentes sur le terminal de l’employé.

Quelle conformité ?

Le BYOD n’est pas un « traitement de données à caractère personnel » en soi. C’est un moyen technique particulier, sur lequel reposent des traitements. De ce fait, recourir au BYOD ne change pas les obligations auxquelles les traitements métiers sont soumis (inscription au registre des traitements et, le cas échéant, analyse d’impact relative à la protection des données).