BYOD : attention aux responsabilités juridiques
Voici quelques scenarii de problèmes juridiques potentiels auxquels les entreprises peuvent être confrontées en choisissant le BYOD. Des droits du salarié à ceux des éditeurs de logiciels, l'entreprise doit se préparer à répondre aux questions juridiques et à ses responsabilités envers chacune des parties.
PublicitéVoici quelques scenarii de problèmes juridiques potentiels auxquels les entreprises peuvent être confrontées en choisissant le BYOD. Des droits du salarié à ceux des éditeurs de logiciels, l'entreprise doit se préparer à répondre aux questions juridiques et à ses responsabilités envers chacune des parties.
La frontière entre temps professionnel et personnel dans un contexte de mobilité et de télétravail
Un salarié pourrait tenter de faire requalifier une partie de son temps passé hors de l'entreprise, en temps de travail en arguant qu'il a reçu des mails à traiter urgemment à toute heure du jour et de la nuit. La société pourrait même être accusée de ne pas respecter les lois sur le temps maximum de travail. Ce risque de requalification n'est pas inhérent au seul BYOD, mais à la différence de la mobilité et du télétravail sur du matériel professionnel, la preuve est stockée dans l'équipement du salarié.
Ce risque n'est pas le seul lié au flou de la frontière entre temps professionnel et personnel dans le cadre du BYOD. En effet, un salarié pourrait plus facilement arguer qu'un procédé ou qu'un processus qu'il a créé dans le cadre de ses fonctions, l'a été sur son temps personnel et en revendiquer la propriété. Après tout, il l'a réalisé sur son matériel personnel et non sur le matériel de l'entreprise...
La réversibilité des données devra être prise en compte, et prévoir cette localisation particulière. La charte d'usage des TIC prévoira la connexion des équipements personnels et précisera les conditions d'usage et la propriété des informations professionnelles.
La responsabilité de l'entreprise ou son image de marque peuvent également être engagées dans plusieurs cas
Peu d'entreprises se sont engagées dans la voie du BYOD en prévoyant que leur responsabilité juridique pouvait être engagée, et en la limitant. Que devraient-elles faire si :
- Un de ses salariés utilise volontairement son équipement pour lancer des attaques depuis le réseau de l'entreprise vers une autre entreprise et génère des impacts financiers importants ?
- Un contenu illicite est téléchargé sur l'équipement personnel depuis l'entreprise ?
- L'entreprise supprime à distance les données du Smartphone déclaré volé et que cette suppression atteint également des données privées du salarié ?
- L'équipement personnel est intégré dans une application qui réalise de la géolocalisation et qu'il est ainsi possible de suivre tous les déplacements du salarié ?
Tous ces cas d'usage et les interdits associés doivent être précisés dans la charte engageant l'utilisateur qui protégera les intérêts de l'entreprise en cas d'abus ou de compromission du matériel.
La confidentialité des données, un aspect sur lequel l'entreprise doit garder la main
Publicitéstrong>La confidentialité des données, un aspect sur lequel l'entreprise doit garder la main
Comment gérer la confidentialité des données dès lors qu'elles sont copiées sur un équipement personnel sur lequel :
- L'entreprise n'a qu'un droit de regard limité sur les usages et qu'elle ne peut donc pas interdire de prêt à la famille ou à un proche, ou encore d'installations de logiciels privés...
- L'entreprise n'a pas de moyen de maitriser le cycle de vie de l'équipement : il peut être revendu, échangé en cas de panne (quid de la réinitialisation des iPhones en cas de remplacement ?), réparé dans un contexte inconnu...
La charte ne suffira pas sur ce point, qui peut engager la responsabilité de l'entreprise en plus de mettre en danger son capital informationnel. Des solutions techniques intéressantes existent, mais leur coût va sensiblement modifier le ROI du projet...
Le BYOD soulève des points délicats avec les éditeurs de logiciels
L'entreprise pourrait être mise en cause par des fournisseurs de logiciels sur trois points :
- Le poste personnel comporte des logiciels sans licence officielle et est utilisé au sein de l'entreprise, participant à l'accomplissement du travail demandé au salarié, sans que ces logiciels y soient nécessaires.
- Le poste personnel est souvent équipé de suites logicielles à usage non commercial obtenues à un coût plus faible mais ne devant pas être utilisées dans un usage professionnel.
- La suite logicielle de l'entreprise est installée sur l'équipement propriété d'un salarié et elle perdure alors que ce salarié n'est plus dans l'entreprise, la société ne vérifie pas le respect de son contrat.
L'entreprise devra a minima interdire explicitement l'utilisation de logiciel sans licence ou de logiciel avec une licence non compatible avec un usage professionnel. Mieux, mais plus complexe, elle devrait contrôler que les équipements qui se connectent à son réseau sont conformes et respectent les règles.
D'autres questions liées ou renforcées par le BYOD mériteraient de faire l'objet de débats au sein des entreprises avant son adoption officielle :
- Un salarié peut-il demander un dédommagement en cas de vol de son équipement personnel sur le lieu de travail ?
- Un salarié peut-il demander un dédommagement si son matériel a été infecté lorsqu'il l'a connecté au réseau de l'entreprise (bien qu'il paraisse plus probable que ce soit le matériel du salarié qui infecte l'entreprise) ?
- La dotation d'une prime d'achat de matériel aux salariés qui acceptent le BYOD n'est-elle pas un avantage en nature ?
- Peut-on reprocher à un salarié de ne pas avoir amené son matériel personnel, ou que son matériel personnel soit en panne et, in fine, de ne pas pouvoir travailler dans des conditions devenues usuelles ?
- Peut-on obliger le salarié, en contrepartie d'un accès à un service de l'entreprise comme le push de messagerie, à utiliser son matériel privé pour un usage professionnel?
Au-delà des aspects techniques et organisationnels, les opportunités proposées par le BYOD et l'introduction d'un équipement privé dans le monde professionnel devront donc être étudiées à la lumière des questions juridiques que ces approches ne manqueront pas de poser à l'entreprise.
Article rédigé par
Lionel Prades, Consultant en sécurité informatique au sein de Lexsi
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire