Le BYOD («Bring your own device»), ou l'utilisation par les employés de leurs équipements personnels (smartphone, PC portable, tablette tactile…) dans un contexte professionnel, est aujourd'hui une pratique courante en entreprise, qui demeure pourtant peu encadrée juridiquement. Donatienne Blin, avocate au sein du département Informatique & Réseaux du cabinet Courtois Lebel, passe en revue les points de vigilance.
L'accès immédiat et en toutes circonstances ausystème d'information de l'entreprise grâce aux BYOD améliore laréactivité et la productivité des employés.
Pourtant cette pratique, souvent tolérée parles entreprises, présente en l'absence d'encadrement spécifique, desrisques substantiels pesant sur la sécurité du système d'information,précisément sur la confidentialité et l'intégrité des données del'entreprise : négligence de l'utilisateur (prêt ou perte du terminal),applications malveillantes téléchargées, virus ou failles de sécurité del'OS (operating system) rendent possibles les accès frauduleux ausystème d'information par des tiers non autorisés.
Chaque type de BYOD présente des risquesparticuliers qui devront être traités différemment. L'utilisation deséquipements personnels et l'anticipation des risques est donc uneproblématique majeure au sein de l'entreprise et précisément desdirections juridiques et des directions des systèmes d'information.Toute perte ou altération des données personnelles peut provoquer desdommages économiques à l'entreprise, mais peut également engager saresponsabilité : l'article 34 de la loi n°78-17 Informatique, fichierset libertés du 6 janvier 1978 impose au responsable de traitement dedonnées personnelles de prendre toutes précautions utiles, au regard dela nature des données et des risques présentés par le traitement pour«préserver la sécurité des données et notamment, empêcher qu'ellessoient déformées, endommagées, ou que des tiers non autorisés y aientaccès».
Ainsi, dans le prolongement de la politique desécurité mise en œuvre par les DSI), les entreprises doivent encadrerl'utilisation des BYOD et garder en toutes circonstances le contrôle del'accès au réseau et des données y étant accessibles. Cet encadrementdevra se matérialiser par la mise en place d'une charte informatique, oula mise à jour de celle-ci dès lors qu'elle serait existante, en vue d'yinclure les mesures propres à leur utilisation, applicables à l'ensembledes salariés.