BYOD & Télétravail
En cette période particulière, deux nouvelles tendances s’affirment dans le monde du travail. Le télétravail afin de maintenir une activité professionnelle malgré le confinement et le Bring Your Own Device (BYOD) (en français : « Apportez Votre Equipement personnel de Communication » ou AVEC), qui désigne l’usage d’équipements informatiques personnels dans un contexte professionnel.
Cette utilisation existe déjà depuis quelques années mais du fait de la crise sanitaire, elle connait un énorme essor, notamment parce bon nombre de salariés ne sont pas équipés de pc portable. De ce fait, le télétravailleur va utiliser, pour se connecter au réseau de l’entreprise, un équipement personnel comme son ordinateur, sa tablette ou son smartphone.
Cette possibilité est prévue par le code du travail et est liée à un choix de l’employeur. Malgré tout, il faut être particulièrement attentif à deux aspects principaux : garantir la sécurité du Système d’Information de l’entreprise et garantir le respect de la vie privée du collaborateur.
Quelles mesures prévoir pour la sécurité des données ?
L’employeur est responsable de la sécurité des données personnelles de son entreprise, y compris lorsqu’elles sont stockées sur des terminaux dont il n’a pas la maîtrise physique ou juridique, mais dont il a autorisé l’utilisation pour accéder aux ressources informatiques de l’entreprise.
Les risques contre lesquels il est indispensable de se prémunir vont de l’atteinte ponctuelle à la disponibilité, l’intégrité et la confidentialité des données, à la compromission générale du système d’information de l’entreprise (intrusion, virus, chevaux de Troie, etc.).
Pour réduire ces risques il est nécessaire d’identifier les risques, en tenant compte des spécificités du contexte (quels équipements, quelles applications, quelles données ?) et de les estimer en termes de gravité et de vraisemblance. En fonction de l’identification, il sera nécessaire de déterminer les mesures à mettre en œuvre et les formaliser dans une politique de sécurité.
Par exemple :
- cloisonner les parties de l’outil personnel ayant vocation à être utilisées dans un cadre professionnel (création d’une « bulle de sécurité ») ;
- contrôler l’accès distant par un dispositif d’authentification robuste de l’utilisateur (si possible à l’aide d’un certificat électronique, d’une carte à puce, etc.) ;
- mettre en place des mesures de chiffrement des flux d’informations (VPN, HTTPS, etc.) ;
- prévoir une procédure en cas de panne/perte du terminal personnel (information de l’administrateur réseau, mise à disposition d’un équipement alternatif professionnel, effacement à distance des données professionnelles stockées sur le terminal personnel) ;
- exiger le respect de mesures de sécurité élémentaires telles que le verrouillage du terminal avec un mot de passe conforme aux bonnes pratiques et l’utilisation d’un antivirus à jour ;
- sensibiliser les utilisateurs aux risques, formaliser les responsabilités de chacun et préciser les précautions à prendre dans une charte ayant valeur contraignante ;
- subordonner l’utilisation des équipements personnels à une autorisation préalable de l’administrateur réseau et/ou de l’employeur.
Quelles garanties pour la vie privée ?
La sécurité du système d’information de l’entreprise et le nécessaire maintien du pouvoir de direction et de contrôle de l’employeur doivent être conciliés avec le respect de la vie privée des employés qui utilisent des équipements personnels dans le cadre de leur activité professionnelle. Par exemple, il n’est pas possible de prévoir des mesures de sécurité ayant pour objet ou effet d’entraver l’utilisation d’un smartphone dans un cadre privé, au motif que cet équipement peut être utilisé pour accéder aux ressources de l’entreprise (interdire la navigation sur internet, le téléchargement d’applications mobiles).
De telles restrictions pourraient difficilement être considérées comme justifiées par la nature de la tâche à accomplir et proportionnées au but recherché.
De la même manière, l’employeur ne peut pas accéder à des éléments relevant de la vie privée stockés dans l’espace personnel de l’équipement (liste des sites internet consultés, photos, films, agenda, annuaire). Il doit cependant pouvoir accéder au contenu professionnel stocké dans ce terminal.
Si l’employeur peut prévoir un effacement à distance de la partie du terminal personnel spécifiquement dédiée à l’accès distant aux ressources de l’entreprise, il ne peut en revanche s’arroger le droit d’effacer à distance l’ensemble des données présentes sur le terminal de l’employé.
Pour rappel, nous avons abordé la partie télétravail il y a quelques semaines ici.