Bring Your Own Device : quels enjeux pour les employeurs ?
17 janvier 2014
L’utilisation par un salarié de son propre matériel électronique à des fins professionnelles, bien qu’encouragée parfois par les entreprises, s’avère poser des difficultés en l’absence d’encadrement juridique spécifique.
« Bring Your Own Device » (littéralement « apportez vos propres terminaux ») consiste pour le salarié à utiliser son matériel personnel à des fins professionnelles. Ce phénomène répond à une réelle demande de la part des salariés, préférant utiliser leur ordinateur, tablette ou smartphone plutôt que ceux, souvent jugés moins performants, fournis par l’employeur.
Côté entreprise, le Bring your Own Device (BYOD) est parfois toléré et dans certains cas encouragé. Cependant, en l’absence d’encadrement légal, le BYOD risque de compliquer la vie des entreprises.
Quels enjeux en droit du travail ?
Le BYOD soulève de nombreuses questions, auxquelles les réponses ne sont pas évidentes.
Quel contrôle ?
Le BYOD soulève des questions liées au respect de la vie privée du salarié et à l’étendue du contrôle de l’employeur sur l’activité de ses salariés.
Si les règles du jeu sont aujourd’hui claires concernant le contrôle d’un outil fourni par l’employeur, le BYOD repose sur un nouveau postulat : l’outil n’appartient plus à l’employeur. Limiter l’usage personnel, contrôler les connexions ou bloquer certains sites, sont autant de pratiques rendues possibles par la présomption de professionnalité posée par la jurisprudence quand le matériel appartient à l’employeur.
Avec le BYOD, une logique différente s’impose.
Sur ce point, deux arrêts récents de la Cour de cassation viennent apporter un éclairage intéressant.
Dans un arrêt du 23 mai 2012, la Cour de Cassation confirme le principe du respect de la vie privée au travail s’agissant d’un dictaphone personnel. L’employeur ne pouvait pas en contrôler le contenu en l’absence du salarié ou sans l’avoir dûment appelé. Ainsi, le fait que le matériel soit la propriété du salarié n’empêche pas le contrôle sur le lieu de travail, pour autant que le salarié soit présent ou dûment appelé. Dans un arrêt du 12 février 2013, la Cour a par ailleurs appliqué la présomption de professionnalité à l’égard d’une clé USB personnelle, dès lors que celle-ci était connectée à l’ordinateur professionnel.
Ces solutions pourraient parfaitement être retenues, s’agissant d’autres outils personnels utilisés et connectés à des fins professionnelles.
Quel impact sur le temps de travail ?
Le BYOD risque de bouleverser la notion de temps de travail effectif, dans la mesure où le BYOD entraîne la dissolution de la frontière entre le temps de travail et le temps de repos. Si le problème se pose déjà de manière générale avec les NTIC (nouvelles technologies de l’information et de la communication), il est clairement aggravé par le BYOD.
Des risques nouveaux pour l’employeur ?
L’employeur devra être particulièrement vigilant quant aux risques psycho-sociaux et aux problématiques d’égalité de traitement, induits par le BYOD.
L’ « hyper-connectivité » des salariés représente en effet un réel risque pour l’employeur quand ses salariés envoient et reçoivent des emails 24/24, 7 jours sur 7. Or, il faut rappeler que l’employeur est tenu à une obligation de résultat quant à la sécurité et la santé des salariés.
Les risques liés à l’égalité de traitement sont également à prendre en compte : les salariés pouvant s’offrir les outils les plus performants risquent d’être eux-mêmes plus performants en se dotant d’applications leur permettant une meilleure productivité.
Quels risques pour l’entreprise ?
La connexion au système d’information de l’entreprise d’outils hétérogènes et non maîtrisés par l’employeur soulève de sérieuses questions de sécurité. Le BYOD multiplie indéniablement les risques d’intrusion. Le phénomène a été baptisé « Bring your own disaster » par certaines Directions des systèmes d’information, traduisant bien l’ampleur du risque.
Selon l’Agence Nationale de Sécurité Systèmes d’Information (ANSSI), « il est illusoire d’espérer atteindre un haut niveau de sécurité avec un ordiphone ou une tablette ordinaire, quel que soit le soin consacré à son paramétrage » (« Recommandations de sécurité relatives aux ordiphones » du 19 juin 2013). Selon l’ANSSI, les exigences de sécurité sont incompatibles avec la mise en Å“uvre d’une politique de BYOD. Des solutions de gestions de flotte (Mobile device Management) ou de la mobilité (Enterprise Mobility Management) existent néanmoins, et doivent être mises en Å“uvre dans le respect de la vie privée des salariés. Le BYOD implique une vigilance toute particulière dans les entreprises traitant des données à caractère personnel, au sens de la loi « Informatique et Libertés » du 6 janvier 1978. L’employeur, en qualité de responsable de traitement, doit garantir la sécurité des données permettant l’identification directe ou indirecte de personnes physiques (contacts clients, données de paiement…). La loi lui impose de mettre en Å“uvre les mesures de sécurité nécessaires en vue de garantir l’intégrité et la confidentialité de ces données. Or de telles sécurités peuvent difficilement être mises en Å“uvre s’agissant d’outils qui ne sont pas la propriété de l’entreprise. Le fait que les salariés connectent leurs smartphones et tablettes personnelles au réseau de l’entreprise, sans les avoir systématiquement paramétrés en vue d’en garantir la sécurité en cas de perte ou de vol, accroît les risques. En cas de perte de l’outil, un utilisateur indélicat pourrait accéder aux données personnelles stockées dans les systèmes de l’entreprise, créant une faille de sécurité dont l’employeur pourrait être tenu pénalement responsable. Il est donc indispensable de mettre en place une politique de BYOD permettant à l’entreprise de se conformer à ses obligations aux termes de la loi Informatique et Libertés.
Quelles recommandations ?
A ce jour, faute d’un encadrement juridique spécifique, il appartient aux entreprises d’apporter des réponses pratiques. Les chartes informatiques devraient constituer des outils efficaces pour déterminer les conditions d’utilisation et de contrôle des outils dans le cadre du BYOD et ainsi concilier les impératifs de sécurité avec le nécessaire respect de la vie privée.
A propos des auteurs
Caroline Froger-Michon, avocat. Son expertise porte sur les restructurations (transfert des contrats de travail, adaptation des statuts collectifs, articulation des procédures),les licenciements collectifs, les plans de départ volontaire, le droit des comités d’entreprise et des comités européens, les expertises (CE/CHSCT, …), les chartes éthiques et procédures d’alerte, les discriminations, le harcèlement, les risques psycho-sociaux.
Anne-Laure Villedieu, avocat associée. Elle intervient en matière de conseils, contentieux, rédactions d’actes et négociations notamment dans les domaines de droit d’auteur, droit de la propriété industrielle (marques, brevets, dessins et modèles), droit de l’informatique, des communications électroniques et protection des données personnelles.
A lire également
Obligation de délivrance et incompatibilité du réseau informatique... 31 juillet 2018 | CMS FL
Comment rémunérer les inventions de salariés ?... 14 mars 2017 | CMS FL
Commerce électronique : propositions de directives « vente à distance de bie... 19 février 2016 | CMS FL
Mise à disposition du public d’un réseau wi-fi : l’exploitant peut être e... 14 février 2017 | CMS FL
Le sort des produits après la rupture des relations commerciales entre un fabri... 25 avril 2016 | CMS FL
Détachement, expatriation : comment gérer les mobilités intra-communautaires ... 21 octobre 2013 | CMS FL
Interdiction du traçage des internautes non-membres de Facebook en Belgique. Qu... 22 février 2016 | CMS FL
Le déréférencement sur Internet et la nécessaire mise en balance des intérÃ... 17 mai 2018 | CMS FL
Articles récents
- L’action en nullité d’un accord collectif est ouverte au CSE
- Complémentaire santé : vigilance sur la rédaction des dispenses d’adhésion
- Précisions récentes sur la portée de l’obligation de sécurité de l’employeur dans un contexte de harcèlement
- La jurisprudence pragmatique du Conseil d’Etat en matière de PSE unilatéral : Délimitation du périmètre du groupe (Partie I)
- Détachement, expatriation, pluriactivité : quelques nouveautés en matière de mobilité internationale
- Avenant de révision-extinction d’un accord collectif : « Ce que les parties ont fait, elles peuvent le défaire »
- Dialogue social et environnement : la prise en compte des enjeux environnementaux à l’occasion des négociations collectives d’entreprise
- L’accès de l’expert-comptable du CSE aux informations individuelles relatives aux salariés lors de la consultation sur la politique sociale de l’entreprise
- Conférence : Sécuriser vos pratiques pour limiter les risques juridiques dans l’entreprise (risque pénal, congés payés, RPS)
- Le recours à un client mystère : une méthode de contrôle loyale à condition d’être transparente