BYOD, mesures et méthodes de mise en place

– Pratiquer le BYOD par « discrimination » (l’autoriser uniquement pour certains salariés de manière discriminatoire);

– Interdire du jour au lendemain ce qui était admis et qui mettrait en cause la bonne exécution du travail (il est nécessaire dans ce cas de mettre en place un préavis) ;

– Encourager le salarié à travailler hors de ses horaires de travail ou pendant son temps de repos (cela contrevient à l’obligation de l’employeur de contrôler la durée du travail).

Les mesures concrètes à mettre en place pour les employeurs :

– Élaborer une stratégie permettant la gestion effective des différentes parties de l’entreprise au sein desquelles le BYOD est utilisé

– Adapter la charte des systèmes d’information à ce nouvel usage

– Si besoin, signer des avenants aux contrats de travail, lorsque par exemple des prises en charge de frais sont envisagées

– Veiller à ce que les instances représentatives du personnel soient informées avant d’encadrer ou d’interdire la mise en place du BYOD

– Gérer efficacement le droit discrétionnaire de déconnexion de l’employeur concernant les systèmes d’information des matériels personnels utilisés pour le BYOD

3 – L’employeur peut-il contrôler le matériel personnel d’un collaborateur qu’il utilise à des fins professionnelles ?

– La jurisprudence a précisé certains points :

Une clé USB personnelle connectée à un outil informatique mis à la disposition du salarié par l’employeur, pour l’exécution de son contrat de travail, est présumée être utilisée à des fins professionnelles, et peut donc être consultée par l’employeur. Il en résulte que l’employeur peut avoir accès aux fichiers non identifiés comme personnels qu’elle contient, hors la présence du salarié.

Un autre arrêt de la Cour de cassation a estimé que l’employeur ne peut procéder à l’écoute des enregistrements réalisés par un salarié sur son dictaphone personnel en son absence ou sans qu’il l’ait au moins dûment appelé. Il résulte de cet arrêt que l’employeur a bien le droit de consulter les données d’un outil personnel du salarié utilisé à des fins professionnels, à condition de respecter certaines conditions et notamment en sa présence, ou en amenant la preuve qu’il l’a dument appelé avant de procéder à la consultation des données.

Par ailleurs, il est possible pour l’employeur de prendre connaissance des contenus personnels des salariés, sur autorisation du tribunal.

Ainsi, un employeur est légitime à obtenir du juge l’autorisation d’accéder aux courriers électroniques à caractère privé de son salarié, dès lors existe qu’il justifie de motifs légitimes de suspecter des actes de concurrence déloyale de la part de son salarié.

Quoi qu’il en soit, il apparaît donc impératif pour l’employeur de prévoir un cadre juridique complet afin d’encadrer l’utilisation du BYOD dans la charte des systèmes d’information. Concernant le BYOD, la CNIL s’est également positionnée sur ce sujet en publiant une fiche pratique sur « les bonnes pratiques » en matière de BYOD en février 2015.

D’après la Commission, la sécurité du système d’information de l’entreprise doit être conciliée avec le respect de la vie privée des employés qui utilisent des équipements personnels dans le cadre de leur activité professionnelle.

– La CNIL énumère ainsi les meilleures pratiques pour limiter les risques pour la sécurité des données : 

* Identifier les risques, en tenant compte des spécificités du contexte (quels équipements, quelles applications, quelles données ?), et les estimer en termes de gravité et de vraisemblance.

* Déterminer les mesures à mettre en œuvre et les formaliser dans une politique de sécurité.

* Sensibiliser les utilisateurs aux risques, formaliser les responsabilités de chacun et préciser les précautions à prendre dans une charte ayant valeur contraignante.

* Subordonner l’utilisation des équipements personnels à une autorisation préalable de l’administrateur réseau et/ou de l’employeur.

Le BYOD est un usage intéressant d’un point de vue économique en particulier mais il est fortement recommandé de bien prévoir les conditions encadrant son utilisation. Le mieux pour cela est que les informations relatives au BYOD soient intégrées dans la charte.

Pour rappel, la charte informatique est un document qui a pour objectif de fixer clairement les règles d’utilisation des ressources informatiques et d’internet au sein d’une entreprise. Recommandée par la CNIL, elle est également reconnue comme faisant partie du règlement intérieur en cas de litige, si elle a été déployée légalement. Une charte informatique s’inscrit dans une démarche d’explication et de sensibilisation quant aux enjeux et aux risques liés à l’utilisation d’Internet et plus généralement du système d’information.

Déployer une charte peut s’avérer complexe. Pourtant son utilisation peut prévenir l’entreprise, les dirigeants et mêmes les employés de bien des risques. Il ne faut pas hésiter à se faire accompagner de professionnels qualifiés en cas de besoin. Olfeo propose également un guide de la charte qui peut également être un bon point de départ pour les entreprises.