L’acronyme « BYOD » vient de l’anglais « Bring Your Own Device ». Il signifie littéralement « Apportez vos appareils personnels ». Le BYOD correspond à l’usage d’équipements informatiques personnels tel qu’un ordinateur, une tablette ou un smartphone dans un contexte professionnel.
Cette pratique est avant tout un choix de la part des employeurs. Vous pouvez tout aussi bien autoriser vos salariés à utiliser leurs propres équipements informatiques que le leur interdire.
Avec la pratique du BYOD, la frontière entre vie professionnelle et personnelle s’efface. Sa mise en oeuvre nécessite la conciliation entre sécurité des données et protection de la vie privée.
Selon la CNIL, l’employeur reste en effet « responsable de la sécurité des données personnelles de son entreprise, y compris lorsqu’elles sont stockées sur des terminaux dont il n’a pas la maîtrise physique ou juridique ».
Les avantages et inconvénients du BYOD
Avant de mettre en place le BYOD, vous devez vous demander ses conséquences sur votre organisme.
Le BYOD vous donne l’énorme avantage de permettre à vos salariés de travailler à distance. Le contexte de l’année 2020 a conduit à une généralisation du télétravail et également de la pratique du BYOD afin de permettre aux entreprises de poursuivre leurs activités.
Le BYOD peut représenter un gain de productivité. Votre salarié a toujours à portée de main son équipement personnel (weekends, jours de congés ou jours fériés). Mais attention, n’oubliez pas son droit à la déconnexion. De plus, il vous ait possible, d’un commun accord et sous réserve d’une contrepartie financière, de faire peser sur votre salarié la fourniture de certain matériels informatiques.
Cependant, l’employeur ayant l’obligation de fournir le matériel nécessaire à ses salariés pour remplir leurs missions, la pratique du BYOD ne peut être généralisée. Cette pratique doit donc être encadrée en fonction de vos besoins. Si elle permet à vos salariés d’avoir un plus large choix d’outils pour accomplir leurs missions, elle fait également courrir des risques sur leur vie privée et la sécurité de votre réseau informatique.
Des mesures organisationnelles et de sécurité peuvent cependant vous permettre d’encadrer cette pratique.
BYOD : les bonnes pratiques organisationnelles
Une politique de BYOD par votre organisme passe nécessairement par la mise en place de mesures organisationnelles. Ces dernières vous permettront à la fois de sécuriser la pratique et de protéger la vie privée de vos salariés.
Vos contrats de travail et règlement intérieur doivent donc prévoir le BYOD. Votre charte d’utilisation du système d’information vous permettra également de définir votre politique de BYOD.
Vous devrez ainsi définir :
- quels salariés sont éligibles au BYOD
- quels appareils personnels peuvent être utilisés
- sous quelles conditions un salarié peut utiliser ses propres appareils
- quelles applications de l’entreprises sont accessibles depuis un appareil personnel
- quels documents sont accessibles et dans quelles conditions (lecture seule, modification, création)
La charte d’utilisation peut aussi vous permettre d’édicter des règles internes en matière de mots de passe robustes et régulièrement changés. Vous pouvez prévoir l’installation d’anti-virus à jour et de correctifs logiciels. Vous pouvez également encadrer l’utilisation des supports amovibles de stockage cryptés et sécurisés, etc.
Votre charte d’utilisation sera également l‘occasion pour vous de préciser le processus interne en cas de vol ou de perte d’un appareil privé. Vous devrez également prévoir une procédure à accomplir sur ces appareils lorsqu’un salarié quitte votre organisme.
La DSI pourra être introduite dans la rédaction de votre charte informatique. Ainsi, des mesures techniques pourront y être précisées pour protéger la vie privée de vos salariés et la sécurité de votre système d’information.
BYOD : les bonnes pratiques en matière de sécurité
La pratique du BYOD fait porter un risque élevé sur la sécurité de votre système d’information. En effet, les employeurs ont un faible contrôle sur les appareils informatiques personnels connectés à leur système d’information.
Vous devez donc vous prémunir des risques d’atteinte ponctuelle à la disponibilité, l’intégrité et la confidentialité des données, voir à la compromission générale de son système d’information.
Ainsi, vous devez :
- identifier les risques, en tenant compte des spécificités du contexte (quels équipements, quelles applications, quelles données ?),
- estimer les risques en termes de gravité et de vraisemblance
- déterminer les mesures à mettre en œuvre
- formaliser ces mesures dans une politique de sécurité.
La CNIL donne quelques exemples de mesures dans son article relatif aux bonnes pratiques du BYOD.
Par l’introduction du BYOD dans votre organisme, votre DSI peut ainsi être amenée à revoir la charte de l’administrateur, les droits d’accès et la politique de gestion des incidents.
Votre politique de sécurité devra être conciliée avec la vie privée de vos salariés. Ainsi, vous ne pourrez mettre en place des mesures entravant l’utilisation des appareils BYOD dans un cadre privé.
De la même manière, vous ne pouvez pas accéder à des éléments relevant de la vie privée stockés dans l’espace personnel de l’équipement de votre salarié.
Si vous pouvez prévoir un effacement à distance de la partie du terminal personnel spécifiquement dédiée à l’accès distant aux ressources de l’entreprise, vous ne pouvez non plus vous arroger le droit d’effacer à distance l’ensemble des données présentes sur le terminal de l’employé.
Ainsi, en matière de BYOD, les bonnes pratiques vous permettrons de préserver votre système d’information et la vie privée des salariés.
Retrouvez nos autres articles sur notre blog Seraphin.legal
