BYOD « Bring Your Own Device » : les bonnes pratiques ?

BYOD

Le développement du « Bring Your Own Device » (« Apportez votre équipement personnel de communication ») réduit progressivement les frontières entre vie professionnelle et personnelle. Par conséquent, la CNIL rappelle les pratiques à mettre en œuvre pour, à la fois, sécuriser les données professionnelles et protéger la vie privée de chacun.

Le BYOD est l’usage de matériel informatique personnel à des fins professionnelles, mais cela n’empêche pas l’obligation de l’employeur de fournir à ses employés les moyens nécessaires à l’exécution de leurs tâches quotidiennes.

L’employeur est responsable de la sécurité des données de son entreprise, même lorsque qu’elles sont stockées sur du matériel informatique privé, et seulement dans le cas où il a autorisé l’accès aux ressources de l’entreprise par le biais de ces appareils.

Afin de limiter les risques pour la sécurité des données de l’entreprise, il faut :

Identifier les risques, et les estimer en termes de gravité et de vraisemblance
Déterminer les mesures à mettre en œuvre et les formaliser à la politique de sécurité de l’entreprise
Sensibiliser les utilisateurs, formaliser les responsabilités de chacun, et écrire une charte
Soumettre l’utilisation d’équipement personnel à une autorisation
Tout ce système de sécurité doit cependant être concilié avec le respect de la vie privée. L’employeur ne peut ni interdire des accès qui entraveraient l’utilisation de ces appareils dans un cadre privé, ni accéder à des éléments privés stockés sur ces appareils, ni effacer à distance des données privées.

Afin d’assurer la sécurité et le bon fonctionnement des systèmes d’information, l’employeur doit seulement effectuer une déclaration normale de gestion du personnel incluant le traitement des données personnelles, ou bien, il doit désigner un Correspondant informatique et libertés.



Les textes de référence

Le Code du travail :

Article L. 1121-1 (protection des droits fondamentaux des salariés)
Article L. 1222-4 (information des salariés)
Article L. 2323-32 (information du comité d’entreprise quant aux outils permettant un contrôle de l’activité des salariés)
Le Code civil :

Article 9 (protection de l’intimité de la vie privée)
La loi du 6 janvier 1978 dite loi « Informatique et libertés »:

Article 2
Article 34 (sécurité des données)