Vous y êtes surement confronté sans forcément en avoir pleinement conscience, le phénomène BYOD (Bring Your Own Device, AVEC : Apportez Votre Equipement personnel de Communication ) se développe en France. Avec lui s’amenuise encore davantage la frontière (déjà fine) entre les vies privée et professionnelle.
Le BYOD est le fait d’utiliser ses appareils personnels (smartphone, tablette, PC, …) dans le cadre professionnel. De fait, en consultant vos mails professionnels depuis votre propre smartphone, en stockant des données sur votre tablette pour terminer un travail le soir à la maison, vous êtes dans le BYOD ! Ces usages sauvages, quand ils ne sont pas maîtrisés par les DSI, posent de sérieuses questions tant au niveau de la sécurité des données de l’entreprise qu’au niveau de la protection du salarié et de sa vie privée.
En début d’année, la CNIL a édité un guide de bonnes pratiques à destination de tous, en 6 points.
Après être revenu sur la notion de BYOD, la CNIL rappelle que selon la loi, « l’employeur doit fournir à ses employés les moyens nécessaires à l’exécution de leurs tâches professionnelles ». L’autorité administrative ajoute que le BYOD ne peut venir en remplacement d’un matériel fourni par l’employeur, pour le poste occupé par le salarié.
L’employeur a une responsabilité avérée dans la sécurisation des données de son entreprise. Qu’elles soient stockées sur des appareils lui appartenant ou dont il ne possède aucune maîtrise physique et/ou juridique, mais sur lesquels l’autorisation d’accès au SI de l’entreprise a été accordée.
La question de la vie privée est également abordée par la CNIL dans ce guide de bonnes pratiques.
Selon ses recommandations, l’entreprise ne doit pas user du BYOD pour exercer un contrôle plus strict sur ses employés, concernant leur vie privée et leur données personnelles. Les questions de sécurité ne doivent pas justifier des débordements sur la vie privée des employés, de quelque façon que ce soit.
La CNIL se positionne également sur la question de l’effacement des données à distance. L’entreprise peut y avoir recours en cas de vol, intrusion, perte de l’appareil. Un tel système de contrôle des données à distance, possédant la capacité d’effacement de ces dernières, ne peut concerner qu’une partie de l’appareil où les données professionnelles auront été préalablement conteneurisées. La CNIL spécifie également que ce mécanisme ne doit pas pouvoir aboutir à une suppression totale des données de l’appareil, l’intégrité des données personnelles de l’employé doit être garantie.
Pour finir, il est à noter que le recours au BYOD n’engendre pas de nouvelle déclaration de la part de l’entreprise aux services de la CNIL, elle doit tout de même s’acquitter d’une déclaration classique de gestion du personnel qui inclut le traitement des données personnelles pour assurer la sécurité et le bon fonctionnement des systèmes d’information.
L’exemple de l’Euro-métropole de Strasbourg
L’exemple des grandes villes est intéressant, comportant de nombreux employés, la majeure partie d’entre elles est concernée par la mobilité.
A Strasbourg, c’est environ 8000 agents qui pourraient être intéressés par la nouvelle politique BYOD.
De nombreuses demandes d’accès aux applications de mails et calendriers sont recensées, par toutes les positions hiérarchiques. L’Euro-métropole a d’ores et déjà équipé 300 agents d’iPhones et iPads avec une solution de VMware AirWatch (solution BYOD permettant entre autres des connexions VPN, conteneurisation des données et contrôle à distance, sécurisation accrue). Équiper tous les agents n’étant pas une possibilité, — tant financière que logistique —, l’idée du BYOD a fait son chemin, la plupart des agents étant déjà équipés d’appareils performants.
Philippe Van Grucht, le chef de projet mobilité rapporte que : « La direction générale a accepté le BYOD mais de manière encadrée et avec deux prérequis : la réalisation d’une charte pour préciser les règles d’utilisation et les limites de responsabilité, et la mise en place d’une solution de gestion des terminaux mobiles (Mobile Device Management) pour limiter les coûts de déploiement et sécuriser les données. ».
Cependant, il a été décidé que tous les frais induits par le BYOD (achat de l’appareil et son entretien, forfait et assurance) seront à la charge de l’agent. L’avantage que pourra y trouver l’agent sera donc la facilitation de la communication, une mobilité accrue et un plus grand confort d’utilisation (choix de son propre matériel).
La mise à disposition par l’Euro-métropole de cette solution sécurisée, tout en laissant le choix aux employés d’en disposer avec leur propre matériel, semble être le bon compromis pour tous.
En fait, d’un point de vue technique, un projet de type BYOD implique de nombreux acteurs au sein de l’entreprise, en particulier les départements des ressources humaines, juridique et bien entendu IT. En ce qui concerne les risques, ils sont à la fois d’ordre technique et organisationnel. Le département IT doit trouver une solution pour une meilleure gestion.