Tendance #XYOD – 01 : #BYOD et la CNIL ?

par / vendredi, 27 mars 2015 / Publié dans#TransformRoom, XYOD

BYOD : Les recommandations de la CNIL

Mobilité : La fameuse Commission nationale de l’informatique et des libertés (CNIL) a diffusé le mois dernier une fiche pratique sur « les bonnes pratiques » en matière de Bring Your Own Device (BYOD). Une fiche qui montre toute la complexité de l’application du BYOD en France.

Le BYOD uniquement à titre subsidiaire !

Depuis des années, la tendance est lourde : le BYOD se développe bien plus rapidement en Asie et sur le continent américain qu’en Europe. Une situation qui s’explique par différents facteurs : habitude de fournir un appareil à l’employé, problème juridique, séparation des données privées et professionnelles, travail en-dehors des heures de travail, etc. Et au regard de la fiche pratique de la CNIL, on comprend mieux les raisons de ces difficultés.

L’autorité administrative indépendante française divise sa fiche en sept points. Le premier est banal et résume brièvement la définition du BYOD, aussi « Apportez Votre Équipement personnel de Communication » (AVEC) en « bon » français. Mais passons directement au deuxième point, dont le titre est déjà évocateur : « Les outils personnels ne peuvent être utilisés qu’à titre subsidiaire dans un cadre professionnel ».

Sans même lire le développement, le titre nous indique d’emblée le caractère limité du BYOD. La CNIL rappelle d’ailleurs immédiatement que « le droit du travail impose à l’employeur de fournir à ses employés les moyens nécessaires à l’exécution de leurs tâches professionnelles ». Une vérité compréhensible et normale pour la plupart des cas, néanmoins, le BYOD implique une certaine souplesse pour tout ce qui est technologique et dont le grand public est naturellement équipé. « L’utilisation d’outils informatiques personnels à des fins professionnelles ne permet pas de s’affranchir de cette obligation » note pourtant la commission, qui semble donc inflexible sur ce point.

Intégrer le BOYD dans politique de sécurité !

La CNIL n’est pas anti-BYOD pour autant, sinon elle n’aborderait pas le sujet de cette façon. D’ailleurs, ses troisième et quatrième points sont très bien résumés. S’intéressant à la sécurité des données, ces points rappellent judicieusement que l’entreprise se doit de protéger ses données, qu’elles soient dans ses propres appareils ou ceux appartenant à l’employé.

La commission rajoute qu’il est important :

  • d’identifier les risques,
  • de déterminer les mesures à mettre en œuvre et les formaliser dans une politique de sécurité,
  • de sensibiliser les utilisateurs aux risques, formaliser les responsabilités de chacun et préciser les précautions à prendre dans une charte ayant valeur contraignante,
  • de subordonner l’utilisation des équipements personnels à une autorisation préalable de l’administrateur réseau et/ou de l’employeur.

  La question du respect de la vie privée

Le cinquième point abordé par la CNIL est par contre plus complexe, mais tout aussi important. Portant sur la vie privée, ce sujet insiste sur son respect par l’entreprise. Qu’est-ce que cela signifie ? Pour faire simple, pour la CNIL, la compagnie ne doit en aucun cas abuser du BYOD pour imposer des règles trop restrictives pour l’employé lorsqu’il n’est plus au bureau ou en rapport avec ses données personnelles. La sécurité des données professionnelles n’est ainsi pas une raison suffisante pour aller trop loin, par exemple en bloquant toutes connexions Internet ou en accédant aux informations privées du collaborateur.

Concernant le volet très délicat de l’effacement des données à distance, scénario qui peut arriver en cas d’intrusion, de perte ou de vol de l’appareil, l’autorité administrative note que l’employeur peut bien mettre en place un tel système, mais cela ne doit viser que la partie de l’appareil « spécifiquement dédiée à l’accès distant aux ressources de l’entreprise, il ne peut en revanche s’arroger le droit d’effacer à distance l’ensemble des données présentes sur le terminal de l’employé ».

  BYOD : Une nouvelle déclaration à la CNIL !

Notons enfin que d’après la CNIL, l’entreprise n’a pas grand-chose à faire en terme de formalité. Une simple déclaration de gestion du personnel « incluant le traitement des données personnelles pour assurer la sécurité et le bon fonctionnement des systèmes d’information » suffit. La commission précise qu’il n’y a pas besoin « de procéder à une nouvelle déclaration du fait du recours au BYOD ».

Source : Par Nil Sanyas pour Bring it on

Taggé sur :

Laisser un commentaire

TOP