BYOD

L’employeur fait face à une présence croissante de smartphones et de tablettes sur le lieu de travail, ce qui le confronte à de nouveaux défis dans le domaine de la gestion de son parc ICT. Lorsque l’employeur met lui-même ces appareils à la disposition de membres du personnel, on parle de Mobile Device Management (MDM). Toutefois, l’employeur reçoit de plus en plus souvent des demandes de membres du personnel visant à pouvoir utiliser leur propre smartphone ou tablette sur leur lieu de travail. Dans ce cas, on parle de BYOD (Bring Your Own Device).

L’utilisation d’appareils mobiles dans un contexte professionnel

L’utilisation d’appareils mobiles présente de nombreux avantages (ne fût-ce que pour rédiger le rapport de réunion sur place ou consulter Internet). Toutefois, elle comporte aussi quelques inconvénients. L’utilisation d’appareils mobiles engendre également des risques spécifiques pour la sécurité de l’information et la vie privée en raison de leur atout principal : leur portabilité. Des informations concernant l’entreprise et des informations personnelles sur les travailleurs peuvent être diffusées notamment suite au vol d’appareils mobiles ou via l’interception de données lors de l’utilisation de bornes WIFI publiques. Ces appareils peuvent également servir, consciemment ou non, à introduire des logiciels malveillants (malware) dans le réseau de l’entreprise. Enfin, le fait que ces appareils se trouvent généralement à proximité de leur titulaire et qu’ils soient souvent actifs 24h/24 requiert une attention particulière au niveau de la protection des données à caractère personnel de l’utilisateur et plus particulièrement, de la géolocalisation des travailleurs.

BYOD

L’utilisation de leurs propres appareils par les travailleurs, tant pour un usage personnel que professionnel, rend complexe la question du contrôle patronal de l’appareil et des données qu’il contient. Dans ce cas de figure, l’exercice d’équilibre entre la défense de l’intérêt légitime de l’employeur d’exercer un contrôle et la préservation des libertés et droits fondamentaux liés à la protection de la vie privée du travailleur n’est pas toujours simple.

D’une part, l’employeur a le droit d’exercer un contrôle sur les données d’entreprise figurant sur les appareils BYOD. Ce contrôle est nécessaire pour garantir la sécurité et la confidentialité de ces données d’entreprise (par exemple, des fichiers clients). Dès lors que les informations contenues dans l’appareil sont liées aux activités et aux missions professionnelles du travailleur, il doit y avoir pour l'employeur une possibilité de prendre connaissance et de contrôler ces informations.

Dans la situation BYOD, l’employeur doit prendre des mesures de manière à garantir la protection des données d'entreprise (et des données à caractère personnel de ses clients) figurant sur l’appareil BYOD, qui sont utilisées et traitées par le travailleur à des fins professionnelles.

À cet égard, on peut renvoyer à la CCT n° 81 qui considère comme une finalité de contrôle légitime la protection des intérêts économiques, commerciaux et financiers de l'entreprise qui sont confidentiels ainsi que la répression de pratiques allant à l’encontre de ces intérêts (comme la diffusion de fichiers et de secrets d'affaires et d’autres données confidentielles).

Cette possibilité de contrôle pour l’employeur implique que le travailleur ne peut pas retenir de mauvaise foi les données professionnelles se trouvant sur son appareil BYOD ou les soustraire à la consultation par l’employeur. Ce dernier doit pouvoir contrôler ces données et ces appareils en vue de déceler de possibles malversations, même si les données contenues dans un appareil BYOD ont au moins partiellement aussi un caractère personnel, vu que l’appareil est la propriété du travailleur lui-même et est donc, par définition, également destiné à un usage personnel par le travailleur en question et/ou par des tiers (p.ex. des membres de sa famille).

Par ailleurs, le travailleur a aussi droit à la protection de sa vie privée. Étant donné que par définition, un appareil BYOD sert des finalités tant professionnelles que personnelles, un problème se pose également sur le plan du respect de la vie privée : l’autorité patronale de l’employeur ne l’autorise pas à contrôler ainsi purement et simplement la totalité des informations figurant sur des appareils BYOD. Des mesures spécifiques doivent être prises pour protéger les informations personnelles en les isolant des informations professionnelles. L’employeur devra également tenir compte des principes de base de la loi vie privée.

Ces mesures consistant à isoler les informations personnelles des informations professionnelles permettent aussi à l’employeur, en cas de perte ou de vol, d’effacer à distance les données professionnelles figurant sur l’appareil sans enfreindre la vie privée.