Le BYOD (« Bring your own device »), ou l'utilisation par les employés de leurs équipements personnels (Smartphone, pc portable, tablette tactile...) dans un contexte professionnel, est aujourd'hui une pratique courante en entreprise, qui demeure pourtant peu encadrée juridiquement.

Donatienne Blin, avocat au sein du département Informatique & Réseaux du cabinet Courtois Lebel, passe en revue les points de vigilance.

L'accès immédiat et en toutes circonstances au système d'information de l'entreprise grâce aux BYOD améliore la réactivité et la productivité des employés.

Pourtant cette pratique souvent tolérée par les entreprises présente, en l'absence d'encadrement spécifique, des risques substantiels pesant sur la sécurité du système d'information, précisément sur la confidentialité et l'intégrité des données de l'entreprise : négligence de l'utilisateur (prêt ou perte du terminal), applications malveillantes téléchargées, virus ou failles de sécurité de l'OS (operating system) rendent possibles les accès frauduleux au système d'information par des tiers non autorisés.

Chaque type de BYOD présente des risques particuliers qui devront être traités différemment.

L'utilisation des équipements personnels et l'anticipation des risques est donc une problématique majeure au sein de l'entreprise et précisément des directions juridiques et des directions des systèmes d'information.

Toute perte ou altération des données personnelles peut provoquer des dommages économiques à l'entreprise, mais peut également engager sa responsabilité : l'article 34 de la loi n°78-17 Informatique, fichiers et libertés du 6 janvier 1978 impose au responsable de traitement de données personnelles de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement pour « préserver la sécurité des données et notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ».

Ainsi, dans le prolongement de la politique de sécurité mise en œuvre par les DSI (directions des systèmes d'information), les entreprises doivent encadrer l'utilisation des BYOD et garder en toutes circonstances le contrôle de l'accès au réseau et des données y étant accessibles.

Cet encadrement devra se matérialiser par la mise en place d'une charte informatique, ou la mise à jour de celle-ci dès lors qu'elle serait existante, en vue d'y inclure les mesures propres à leur utilisation, applicables à l'ensemble des salariés.

Les problématiques suivantes devront y être abordées :

L'accès au système d'information de l'entreprise

Compte tenu des risques (introduction de virus, fuite, perte, altération de données personnelles ou sensibles et confidentielles...) pesant notamment sur les données de l'entreprise, des règles d'accès au système d'information de l'entreprise via un équipement personnel devront être adaptées.

On pourra prévoir que le salarié utilisant un équipement personnel soit obligé, préalablement à la connexion de son terminal au réseau de l'entreprise, d'avertir le DSI et de faire contrôler son équipement afin de s'assurer de sa conformité en termes de sécurité.

De même, le salarié devra toujours disposer d'un équipement en état de fonctionnement, et systématiquement, télécharger les mises à jour proposées par les éditeurs (du système d'exploitation, des logiciels et des applications utilisés).

Il pourra également être imposé au salarié de protéger son équipement par mot de passe afin d'en interdire l'accès aux tiers.

L'obligation de faire l'acquisition d'outils permettant de limiter les risques de sécurité pourra également être imposée au salarié : logiciel antivirus, de cryptage des données, ou encore dispositif permettant de supprimer les données à distance dès lors que les données seraient directement stockées sur l'équipement personnel du salarié.

Afin d'éviter la perte définitive des données (les applications Cloud le permettent), il peut également être imposé au salarié d'installer des outils de sauvegardes journalières ou de synchronisation des données avec un autre appareil.

En cas de vol, perte, ou constat quelconque d'intrusion frauduleuse sur l'équipement personnel, le salarié devra immédiatement prévenir le DSI afin qu'il prenne toutes mesures nécessaires pour protéger le système d'information de l'entreprise et les données y étant stockées.