Le BYOD : une innovation qui pose des questions tant en termes de sécurité informatique que de droit

Le BYOD : une innovation qui pose des questions en termes de sécurité et de droit

byod

Qu'est-ce que le BYOD ?

L’acronyme « BYOD » est né de l'anglais « Bring Your Own Device » qui se traduit en français par « Apportez Votre Equipement personnel de Communication". Il s'agit d'utiliser des équipements informatiques personnels dans le cadre du travail. Cela peut par exemple être le cas d’un salarié qui se connecte au réseau de l’entreprise en utilisant son ordinateur, sa tablette ou son smartphone personnel. Cette technologie facilite le travail collaboratif, dans le sens où ces équipements peuvent être reliés à un parperboard numérique ou à un écran tactile par exemple. Il s'agit d'une nouvelle pratique pose des questions d'ordre organisationnel aux entreprises, mais soulève également de nouveaux problèmes juridiques.

byod

Les risques en termes de sécurité informatique

L’employeur est le garant de de la sécurité des données personnelles de l'entreprise, ce qui pose des difficultés lorsqu’elles sont stockées sur des équipements extérieurs dont il a autorisé l’utilisation pour accéder aux ressources de l’entreprise. Les risques concernent l’intégrité et la confidentialité des données, voire même la compromission générale du SI de l’entreprise en cas d'intrusion par un hacker, de virus, ou chevaux de Troie, etc.

Les questions juridiques

La sécurité du SI de l’entreprise n'est pas la seule question en jeu dans le BYOD. Le respect de la vie privée des employés utilisant des équipements personnels au travail est également une obligation légale. Ainsi n'est-il pas possible en France de prévoir des mesures de sécurité qui auraient pour effet de limiter l’utilisation d’un smartphone dans le domaine privé, par exemple en interdisant la navigation internet ou le téléchargement d'applications, pour la simple raison que l'équipement est également utilisé pour l'accès aux ressources de l’entreprise. Bien sûr, l’employeur ne doit pas pouvoir accéder à des éléments relevant de la vie privée de l'employé, comme par exemple la liste des sites consultés, l'agenda personnel, les contacts téléphoniques, etc. L'employeur peut par contre prévoir l'effacement à distance des informations strictement professionnelles, mais pas l'intégralité des données présentes sur le terminal.