Apportez-vous votre propre matériel sur votre lieu de travail ? C’est en tout cas, l’invitation lancée par le phénomène du « Bring Your Own Device » (BYOD). Celui-ci repose sur l’idée que les salariés utilisent leurs matériels informatiques personnels pour leurs besoins professionnels. Il peut s’agir d’ordinateurs portables, de clés USB, de tablettes, ou encore de smartphones, compacts et multi-usages, qui sont les grands favoris.
Toutefois, de récentes études montrent que les entreprises se sont davantage vues imposer un tel usage des terminaux mobiles personnels, qu’elles ne l’ont initié. Ces pratiques peu appréhendées s’intensifient pourtant et il devient urgent pour les entreprises de les encadrer. En effet, bien que les risques liés au BYOD, ne soient pas nouveaux en eux-mêmes, leurs impacts sont modifiés par le fait que les outils soient la propriété du salarié.
La perte de contrôle de l’utilisation des ressources par l’entreprise
La première action à mener par les entreprises, pour éviter l’écueil de la perte de contrôle du matériel utilisé par les employés, consiste dans le recensement de ce matériel personnel servant dans le cadre professionnel.
Elles doivent ainsi s’assurer de la compatibilité de ces matériels avec le support interne (ou helpdesk). Les plus performants des terminaux mobiles, ne supportent pas toutes les interventions effectuées sur les PC dits classiques, des applications n’ont pas encore d’équivalents sur certains terminaux, la connexion wifi n’est pas encore disponible sur tous les lieux de travail, …
L’emploi d’outils personnels empêche par ailleurs, les employeurs de restreindre les usages sur leur réseau (blogs, réseaux sociaux,…). C’est pourquoi les entreprises doivent également déterminer quels employés peuvent recourir au BYOD et à quelles fins. Cela se fera toutefois au risque de discriminer les salariés, qui par choix, ou par interdiction de l’employeur, n’useront pas de leurs ressources personnelles.
L’atteinte à la sécurité des systèmes informatiques de l’entreprise
Le défaut de mots de passe, les mots de passe trop peu sécurisés ou bien encore la perte ou le vol des terminaux personnels utilisés pour travailler chez soi, ou sur son lieu de travail, accroit de manière certaine le risque d’accès frauduleux aux systèmes d’information de l’entreprise.
L’employeur peut et même doit, pour ne pas être victime d’attaques virales ou pour ne pas engager sa responsabilité civile à l’égard des tiers, encadrer l’utilisation des moyens informatiques mis à la disposition des salariés. Mais peut-il réglementer la consultation des emails ou le téléchargement illégal, lorsque ces actes sont effectués à partir d’un équipement appartenant au salarié ?
Faille juridique, à laquelle il serait sans doute possible de remédier par l’adaptation des chartes informatiques de l’entreprise et des contrats de travail au BYOD. Le règlement intérieur de l’entreprise pourrait en outre, servir de mesure dissuasive en prévoyant des sanctions à l’encontre des salariés qui ne respecteraient pas les usages imposés par l’entreprise.
L’absence de frontière entre le professionnel et le personnel
L’employeur doit entretenir les outils mis à la disposition de son salarié dans le cadre de sa mission et bien que le terminal mobile soit personnel, le salarié sera amené à y faire installer des outils de travail (application pour accéder à sa messagerie professionnelle, par exemple). La maintenance de ce terminal mobile par le support interne à l’entreprise, ne constituerait-elle pas une intrusion dans la vie privée du salarié, propriétaire exclusif dudit terminal ?
Un arrêt récent de la Cour de cassation a posé les jalons en la matière. Les juges ont estimé que l’employeur ne pouvait, en l’absence du salarié ou celui-ci dûment appelé, accéder aux informations contenues dans le dictaphone de ce dernier, ayant servi à l’enregistrement frauduleux de conversations de collègues dans le cadre de leur travail. Ils appliqueraient, au matériel personnel, la jurisprudence établie à l’égard des outils professionnels.
Le flou naissant entre le monde du professionnel et du personnel pose enfin, la question de l’ « hyper-connectivité ». Comment respecter la durée légale du temps de travail lorsque le salarié peut à tout moment être tenté d’accéder à sa messagerie professionnelle ? Il serait alors désormais question, de mettre en place des cellules dédiées au BYOD, au sein des institutions représentatives du personnel.
Cette étape d’encadrement surmontée, les entreprises voient davantage le BYOD comme un moyen de réduire les coûts liés à l’IT, dont les budgets diminuent.
Certains prédisent dans ce sillage, l’apparition d’un « Buy Your Own Device », passant de l’envie d’apporter ses propres outils sur son lieu de travail, à une obligation de le faire.
Pour aller plus loin
Merav GRIGUER, « Les risques liés au BYOD : quelles mesures prendre en interne ? », Cahiers de droit de l’entreprise n°3, mai 2012, prat. 15