Lundi 11 décembre 2017
NASDAQ : 0.0 0   nasdaq0 %
RECHERCHE
OK
 
NEWSLETTER
newsletter
Abonnez-vous gratuitement
à notre newsletter
hebdomadaire - Cliquez ICI
Indexel
  • DOSSIERS
  • PRATIQUE
pub Publicité
 

MATERIELS

Bring your own device : dix questions pour respecter la réglementation

Imprimer Envoyer à un ami Contacter la rédaction
Par Thierry Lévy-Abégnoli le 02/05/2012 - indexel.net
 
Bring-your-own-device

Le Bring your own device (BYOD) pose des questions juridiques et réglementaires. Les réponses, encore floues, concernent les risques de discrimination, la séparation entre vie publique et privée, ou ce qu'employeur et salarié peuvent imposer ou accepter.

 

1. Existe-t-il un cadre juridique et réglementaire pour le BYOD ?

Il n'existe ni cadre précis ni jurisprudence, et les réglementations éventuellement applicables se contredisent parfois. "Les entreprises sont en phase d'apprentissage et doivent faire preuve d'une intelligence de situation pour construire un cadre plus ouvert pour l'employé, tout en évitant les usages illicites et en protégeant les informations confidentielles", résume Isabelle Denervaud, directeur associé télécoms et innovation chez BearingPoint.

2. Comment prévenir les risques de discrimination ?

Que ce soit à l'embauche ou en poste, le BYOD génère des risques de discrimination. Les employés les mieux équipés travailleront en effet plus volontiers en dehors des horaires. En l'absence de jurisprudence, on peut procéder par analogie. Ainsi, selon la Haute autorité pour la lutte contre les discriminations et pour l'égalité (Halde), aujourd'hui remplacée par le défenseur des droits, le critère de richesse des salariés n'est pas prévu dans les textes sur les discriminations. "Sélectionner un candidat en fonction de la détention d'une tablette ne serait donc pas punissable", affirme Maître François Coupez, avocat associé au cabinet Caprioli & Associés. Mais à l'inverse, l'employeur n'a le droit de demander à un employé s'il a un iPad, que si la maîtrise de cet outil fait partie des compétences nécessaires au poste.

3. Peut-on différencier les utilisateurs lors de l'accès au SI ?

Un autre type de discrimination concerne l'accès au système d'information. Si le salarié demande un tel accès à partir de son terminal, l'entreprise peut tout à fait adapter sa réponse à chaque personne, avec par exemple des niveaux d'accès spécifiques. "Mais pour un type de fonction et de poste donnés, la réponse doit être la même", précise François Coupez.

4. Quelle assurance est concernée en cas de casse ou de vol ?

François CoupezLorsqu'un smartphone est volé à l'extérieur de l'entreprise alors que l'employé l'utilise pour travailler, quelle assurance doit payer ? Employeur et employé doivent s'entendre en décidant par exemple que l'assurance de flotte couvrira les terminaux personnels. "Mais il faudra signaler à l'assureur les produits concernés et les changements tels que vol, casse ou revente", explique François Coupez (photo).

5. L'entreprise est-elle responsable d'infractions commises par le salarié ?

Les infractions commises par les utilisateurs via le réseau de l'entreprise rendent celle-ci responsable à 100 %. Par exemple, Hadopi oblige l'entreprise à mettre en œuvre des protections empêchant le téléchargement illégal. Dans le cas du BYOD, elle aura intérêt à le faire au niveau réseau, en assimilant les possesseurs de terminaux à des utilisateurs publics extérieurs.

6. Quelles obligations peut-on imposer aux employés pour garantir la sécurité ?

Une certaine maîtrise de la configuration des terminaux BYOD est nécessaire afin de protéger l'entreprise contre le risque de fuite de données. "L'employeur peut et doit imposer des outils de protection", prévient François Coupez. Elle peut exiger que l'utilisateur mette en œuvre un tel outil et qu'il efface ses données à distance en cas de vol. En revanche, elle ne peut pas auditer des fichiers privés. De plus, elle a le devoir d'expliquer aux utilisateurs comment sauvegarder leur contenu privé, au cas où il faudrait l'effacer à distance.

Isabelle Denervaud"La formalisation des mesures préventives concernant la sécurité des informations passe par un code de bonne conduite qui spécifiera par exemple que les utilisateurs ne doivent pas transférer d'informations confidentielles dans leur terminal", complète Isabelle Denervaud (photo).

7. Comment réagir en cas de perte de terminal contenant des données critiques ?

Les pertes de données personnelles doivent être notifiées auprès de la CNIL. Cette obligation est spécifiée par le "Paquet télécom", qui ne concerne pour l'instant que les opérateurs. Mais il est conseillé d'anticiper l'extension prochaine de cette disposition à toutes les entreprises. "Dans cette optique, la charte informatique doit prévoir qu'en cas de vol, l'utilisateur devra prévenir l'entreprise, avant même l'assurance et la police", précise François Coupez.

8. Comment organiser le partage des coûts ?

Le partage des coûts commence par une négociation entre le salarié et l'entreprise. Il peut concerner le terminal, l'assurance, les applications et la facture télécoms. Mais cet accord ne suffit pas. "Le cofinancement peut être assimilé à une rémunération en nature, qu'il faudra donc déclarer comme telle", précise François Coupez.

9. Comment baliser la séparation entre vies privée et professionnelle ?

"Afin de séparer sphères privée et professionnelle, il faut spécifier dans la charte, des garde-fous qui prennent la forme de bonnes pratiques. Chez Volkswagen, on bloque ainsi l'arrivée des e-mails professionnels en dehors des horaires de travail", cite Isabelle Denervaud (notre article : Volkswagen éteint ses serveurs BlackBerry le soir). Une séparation totale peut être actée par un dispositif technique. Il existe ainsi des solutions dédiant un environnement spécifique à l'utilisation professionnelle. Mais leur raison d'être pose question. En effet, l'un des avantages du BYOD est justement de mixer sphères personnelle et professionnelle, par exemple afin d'enrichir la liste de prospects ou de promouvoir la marque sur les réseaux sociaux. "Il y a donc une difficulté qui n'est pas encore bien résolue", constate François Coupez. On peut au moins préciser les applications à usage exclusivement professionnel. La charte informatique encadrera ce principe sans toutefois intégrer directement cette liste, pour plus de souplesse.

10. Quel est l'impact sur les licences logicielles ?

Certaines applications sont gratuites en usage personnel et deviennent payantes en usage professionnel. Cette problématique se résout là encore en listant les applications professionnelles et par une négociation sur le partage des coûts.

LIRE AUSSI
 
 
pub Publicité

CloudStack by IkoulaCloudStack by Ikoula

Cloud Computing : Atouts et freins, acteurs du marché, conseils et témoignages