BYOD : comment l’encadrer au mieux au sein de l’entreprise ?

Comment bénéficier des avantages et protéger au mieux l’entreprise ? Alexandre Souillé, Président d’Olfeo répond précisément à ces questions. Selon le rapport du CLUSIF de 2014, le BYOD aurait vu son taux d’interdiction au sein des entreprises passer de 38 % à 66 %.

Selon une étude du cabinet américain Gartner, en 2020, 45 % des entreprises mondiales auront renoncé à leur flotte d’appareils mobiles professionnels. Pourtant, selon la CNIL, seuls 44 % des possesseurs disent avoir une utilisation « exclusivement personnelle » de leur smartphone. Si les avantages sont nombreux, notamment des économies pour l’entreprise qui n’a pas besoin de renouveler ses appareils, et qui développe une image de modernité, les risques le sont également.

La sécurité pour les systèmes d’information et la confidentialité des données sont mis à rude épreuve : l’utilisation du BYOD entraîne la disparition des frontières claires entre usage professionnel et usage privé. En l’état actuel du droit, aucune loi ou décret ne régule le BYOD dans les entreprises.

Les 3 questions majeures  

1 – L’employeur peut-il imposer l’utilisation du BYOD au sein de son entreprise ?

– Selon l’article L. 4121-1 du Code du travail, l’employeur se doit de fournir à ses employés les moyens adaptés et nécessaires à l’exécution de leurs tâches professionnelles. Par conséquent, l’employeur ne peut imposer à ses salariés l’utilisation du BYOD. Il peut néanmoins l’interdire ou l’autoriser. Dès lors, s’il décide de l’autoriser, il peut imposer aux salariés la mise en place de moyens de sécurité concernant les données et applications professionnelles ce qui répond à la seconde question (voir ci-après). Ceux-ci doivent néanmoins respecter la vie privée des employés qui utilisent des équipements personnels dans le cadre de leur activité professionnelle. 

2 – Peut-il mettre en œuvre des moyens afin de sécuriser les données professionnelles et le système d’information ?

– Dans le cadre de la sécurité des données professionnelles, l’utilisateur doit accepter la mise en place de solutions de sécurisation sur outil personnel (telles que des outils de Mobile Device Management (MDM). À ce titre, l’employeur devra prévoir un budget pour former son personnel à l’utilisation de cette technologie. Le Mobile Device Management, ou « Gestion de Terminaux Mobiles », est une application permettant la gestion par l’entreprise, au niveau du service informatique, d’une flotte d’appareils mobiles, qu’il s’agisse de tablettes, de smartphones, voire d’ordinateurs hybrides au format tablette.

– L’employeur doit définir les conditions de contrôle sur toutes les données professionnelles qui sont utilisées par le salarié sur son système informatique personnel, utilisé pour son travail, afin d’éviter que la confidentialité des informations sensibles de l’entreprise soit menacée.

Afin d’assurer une sécurité maximale pour le système d’information de l’entreprise, la DSI pourra procéder aux actions suivantes :

* Limiter à certaines catégories de personnes uniquement le « droit » au BYOD

* Limiter le nombre ou le type de terminaux légitimes

* Limiter le nombre ou le type d’usages

* Imposer des mesures ou applications particulières telles que le MDM ou une application de sécurité

* Imposer la mise en place d’un contrôle de la partie professionnelle du terminal

* Définir les règles d’utilisation du BYOD

* Définir le processus à suivre pour bénéficier du BYOD 

Par ailleurs, l’entreprise peut mettre les frais d’abonnement et d’utilisation du terminal personnel (soit les coûts du BYOD), pour les besoins de son activité professionnelle, à la charge du salarié. 

Contrairement au télétravail, aucune réglementation spécifique n’impose la prise en charge des coûts que pourraient engendrer la pratique du BYOD pour le salarié, notamment lorsque cette pratique est une solution laissée au libre choix du salarié et n’est pas imposée par l’employeur.