BYOD

L’employeur fait face à une présence croissante de smartphones et de tablettes sur le lieu de travail, ce qui le confronte sans cesse à de nouveaux défis de gestion. Lorsque l’employeur met lui-même ces appareils à la disposition de membres du personnel, on parle de Mobile Device Management (MDM). Toutefois, l’employeur reçoit de plus en plus souvent des demandes de membres du personnel visant à pouvoir utiliser leur propre smartphone ou tablette sur leur lieu de travail. Dans ce cas, on parle de BYOD (Bring Your Own Device).


L’utilisation d’appareils mobiles présente de nombreux avantages (ne fût-ce que pour rédiger le rapport de réunion sur place ou consulter Internet). Toutefois, elle comporte aussi quelques inconvénients. L’utilisation d’appareils mobiles engendre également des risques spécifiques pour la sécurité de l’information et la vie privée en raison de leur atout principal : leur portabilité.

Des informations concernant l’entreprise et des informations personnelles sur les travailleurs peuvent être diffusées notamment suite au vol d’appareils mobiles ou via l’interception de données lors de l’utilisation de bornes WIFI publiques. Ces appareils peuvent également servir, consciemment ou non, à introduire des logiciels malveillants (malware) dans le réseau de l’entreprise.

Enfin, le fait que ces appareils se trouvent généralement à proximité de leur titulaire et qu’ils soient souvent actifs 24h/24 requiert une attention particulière au niveau de la protection des données à caractère personnel de l’utilisateur et plus particulièrement, de la géolocalisation des travailleurs.

L’utilisation de leurs propres appareils par les travailleurs, tant pour un usage personnel que professionnel, rend complexe la question du contrôle patronal de l’appareil et des données qu’il contient. En effet, avec l’entrée en vigueur du RGPD, l’employeur est tenu d’assurer la sécurité des données personnelles de son entreprise, y compris lorsqu’elles sont stockées sur des terminaux dont il n’a pas la maitrise physique ou juridique.

Dans ce cas de figure, l’exercice d’équilibre entre la défense de l’intérêt légitime de l’employeur d’exercer un contrôle et la préservation des libertés et droits fondamentaux liés à la protection de la vie privée du travailleur n’est pas toujours simple.

D’une part, l’employeur a le droit d’exercer un contrôle sur les données d’entreprise figurant sur les appareils BYOD. Ce contrôle est nécessaire pour garantir la sécurité et la confidentialité de ces données d’entreprise (par exemple, des fichiers clients).

Dans la situation BYOD, l’employeur doit prendre des mesures de manière à garantir la protection des données d'entreprise (et des données à caractère personnel de ses clients) figurant sur l’appareil BYOD, qui sont utilisées et traitées par le travailleur à des fins professionnelles.

Cette possibilité de contrôle pour l’employeur implique que le travailleur ne peut pas retenir de mauvaise foi les données professionnelles se trouvant sur son appareil BYOD ou les soustraire à la consultation par l’employeur. Ce dernier doit pouvoir contrôler ces données et ces appareils en vue de déceler de possibles malversations, même si les données contenues dans un appareil BYOD ont au moins partiellement aussi un caractère personnel, vu que l’appareil est la propriété du travailleur lui-même et est donc, par définition, également destiné à un usage personnel par le travailleur en question et/ou par des tiers (p.ex. des membres de sa famille).

Par ailleurs, le travailleur a aussi droit à la protection de sa vie privée. Étant donné que par définition, un appareil BYOD sert des finalités tant professionnelles que personnelles, un problème se pose également sur le plan du respect de la vie privée : l’autorité patronale de l’employeur ne l’autorise pas à contrôler ainsi purement et simplement la totalité des informations figurant sur des appareils BYOD. Des mesures spécifiques doivent être prises pour protéger les informations personnelles en les isolant des informations professionnelles.