Confidentialité des données personnelles sur les terminaux mobiles des employés : Sid Ahmed Lazizi, directeur général France de MobileIron, spécialiste mondial de la gestion de la mobilité en entreprise, plaide pour l’établissement d’un modèle fiable en la matière.
Dans notre monde mobile, l’équipe informatique ne se cantonne plus au rôle de simple arbitre pour le choix des technologies utilisées au travail, mais devient un conseiller avisé pour les cadres, les responsables et les employés. Grâce à la simplicité et à l’omniprésence des applications mobiles et des services Cloud, n’importe qui peut désormais créer ses propres outils. Les collaborateurs de manière individuelle, les équipes de travail ou encore des services entiers s’adonnent de plus en plus à cette activité de Shadow IT.
Ce Shadow IT est à la fois source d’opportunités et de défis. Pour y faire face, le DSI et les responsables informatiques doivent endosser un nouveau rôle : celui de conseiller de confiance. Ce nouveau rôle redéfinit déjà les relations entre les services de l’entreprise et le service informatique.
Un conseiller de confiance a pour mission, comme son nom l’indique, d’établir une relation de confiance. L’étude sur le déficit de confiance commanditée en 2015 par MobileIron [NDLR : voir notre article sur le sujet] révèle que si les collaborateurs font, en règle générale, confiance à leur employeur ou service informatique pour garantir la confidentialité de leurs données personnelles sur leurs terminaux mobiles, il reste en revanche à établir un modèle fiable en la matière.
L’étude a révélé que 61 % des travailleurs sont convaincus que cette confidentialité est garantie. En revanche, elle a également établi que 30 % des collaborateurs démissionneraient si leur employeur pouvait consulter des informations personnelles sur leurs terminaux mobiles.
De même, si la majorité des collaborateurs savent que leurs données sont protégées, ils sont plus incertains quant aux informations que le service informatique peut voir ou non sur des terminaux gérés, ainsi qu’aux actions qu’il est en mesure de réaliser. Il incombe alors aux responsables informatiques de clarifier ces points et d’établir un cadre élargi de confiance et de communication.
S’assurer que les collaborateurs comprennent que leur vie privée est garantie
En l’absence d’une vision claire des choses, il est dans la nature humaine de faire preuve de scepticisme. C’est d’autant plus vrai que pendant longtemps, les équipes informatiques étaient en mesure de voir l’ensemble des données se trouvant sur les ordinateurs professionnels des collaborateurs. En conséquence, ces derniers ont tendance à surestimer ce qui est consultable sur leurs terminaux.
Dans la pratique, l’équipe informatique ne peut accéder qu’à très peu de données personnelles. Sur iOS par exemple, l’employeur peut connaître l’opérateur, le pays d’utilisation, la marque et le modèle du terminal, la version du système d’exploitation, le numéro de téléphone, sa localisation, la liste des applications installées et la messagerie professionnelle. En revanche, il n’est pas en mesure, même s’il le voulait, d’afficher les e-mails personnels, les SMS, les photos, les vidéos, les messages vocaux ou l’activité Web. La seule exception concerne les données transitant par le réseau de l’entreprise.
Néanmoins, la plupart des utilisateurs n’ont pas conscience de ces limites. Ils peuvent également ne pas comprendre pourquoi l’équipe informatique a besoin d’accéder aux données autorisées ou d’y effectuer des actions. Cela entraîne alors une certaine ambivalence ou des préoccupations infondées, surtout parce que les terminaux sont désormais destinés à une utilisation mixte, quel qu’en soit le propriétaire, et qu’ils contiennent toujours plus d’informations personnelles, notamment des données relatives à la santé.
Communiquer sur la confidentialité s’avère essentiel
Les nombreux défis auxquels sont actuellement confrontées les équipes informatiques constituent également des opportunités intéressantes. Cela dit, pour les considérer de la sorte, il est primordial de changer de perspective.
Dans ce cas, l’opportunité consiste à dissiper toute méfiance éventuelle en informant directement les collaborateurs de ce que l’équipe informatique peut et ne peut pas voir. Il est également important de préciser ce qu’elle choisit de consulter et pourquoi. Enfin, cela implique de protéger la vie privée des collaborateurs avec autant d’ardeur que les informations d’entreprise et de s’assurer qu’ils en sont conscients.
En premier lieu, il convient d’expliciter clairement aux utilisateurs quelles informations l’équipe informatique peut afficher. Ils doivent savoir avec certitude si leurs e-mails ou photos personnels sont visibles. Il en va de même pour les inventaires d’applications ; dans les versions récentes d’iOS et de Windows Phone, ils sont filtrés et n’indiquent que les applications d’entreprise gérées.
Étant donné que chaque plateforme intègre désormais de nouvelles fonctionnalités particulièrement sensibles, il est important de lever les doutes et d’indiquer si l’équipe informatique a ou non accès aux données connexes. L’ajout d’informations de santé à HealthKit [NDLR : plateforme santé d’Apple] constitue un bon exemple. Même s’il peut sembler évident que l’équipe informatique n’exerce aucun contrôle sur ces données ultra-personnelles, préciser explicitement qu’elles ne sont pas consultables contribue à renforcer la confiance.
Ensuite, les utilisateurs doivent savoir quelles sont les données que l’équipe informatique choisit de surveiller et pourquoi. Cette dernière est en droit de surveiller plusieurs éléments, notamment la localisation d’un utilisateur et des informations concernant son terminal et le système d’exploitation. Ce contrôle est important pour plusieurs raisons. Si vous connaissez la version du système d’exploitation, vous pouvez déterminer si un terminal est vulnérable à des failles de sécurité. En ayant accès à la localisation de l’utilisateur et aux données de l’opérateur, vous pouvez savoir si le terminal est en itinérance internationale, ce qui peut s’avérer relativement coûteux.
La surveillance de ces informations ne doit surtout pas être assimilée à une forme de malveillance. Dans la plupart des cas, l’équipe informatique se préoccupe autant de l’utilisateur que des données d’entreprise sur le terminal. Les utilisateurs doivent comprendre cela. Ils doivent connaître le pourquoi et le comment.
Communiquer pour renforcer la confiance
Pour informer les collaborateurs de ces points, l’équipe informatique dispose de plusieurs moyens. Elle peut inclure une explication détaillée sur le terminal pendant et après l’inscription. Elle peut procéder par e-mail, au cours d’un appel au service d’assistance, ou à travers les wikis et les réseaux sociaux d’entreprise. L’équipe informatique peut également publier des vidéos illustrant ce qu’elle peut et va faire, et pourquoi. Elle a la possibilité d’inviter les utilisateurs à venir découvrir les coulisses du service et y passer du temps.
Dans l’idéal, il faudrait mettre en œuvre un condensé de ces approches. Une méthode unique risque de ne pas atteindre toutes les personnes concernées. Ainsi, plus l’approche est étendue, plus elle se révèle efficace.
Les résultats de notre étude sur le déficit de confiance indiquent qu’il reste beaucoup à faire en matière de communication sur la confidentialité auprès des collaborateurs. Cela dit, le déploiement de tels efforts ne pourra que porter ses fruits et contribuer à établir une relation plus solide entre l’équipe informatique et le reste de l’organisation.