Matériel informatique personnel : to bring or not to bring ?
Ayant constaté la multiplication des usages de matériels personnels dans un cadre professionnel en Grande-Bretagne, l’Information Commissioner’s Office (ICO), l’Autorité de protection des données personnelles anglaise (équivalent de la CNIL en France), a récemment publié sur son site Internet www.ico.uk un guide intitulé « Bring your own Device (BYOD) » (ci-après le « Guide »), mettant en exergue les risques liés à la pratique et les précautions à prendre lorsque l’usage de matériels personnels est autorisé dans un cadre professionnel. Les enseignements de ce Guide peuvent être aisément transposés en France. Le Guide souligne que le phénomène du BYOD se répand rapidement. Dans nombre d’entreprises, les salariés ou dirigeants souhaitent pouvoir utiliser, dans le cadre de l’exécution de leurs missions professionnelles, leurs propres outils électroniques (smartphones, tablettes ou ordinateurs portables). Ces outils peuvent ainsi être connectés au système d’information de l’entreprise. Or, ces connexions soulèvent des interrogations au regard de la protection des données à caractère personnel détenues par l’entreprise. En effet, des données dont l’entreprise est responsable peuvent alors faire l’objet de traitements au moyen de ces outils « personnels », qui ne sont pas sous le contrôle de l’entreprise. La question est donc posée de la conformité de tels traitements aux principes de protection des données personnelles et des précautions à prendre en vue d’assurer la sécurité des données personnelles dans ce cadre.
Le Guide rappelle en premier lieu un principe fondamental : le responsable de traitement doit en toutes circonstances garder le contrôle des données personnelles qu’il a collectées, quand bien même il ne serait pas propriétaire du matériel sur lesquelles ces données sont traitées.En d’autres termes, une entreprise responsable de traitement ne saurait s’exonérer de ses responsabilités en cas d’atteinte aux données (perte, divulgation, altération ou accès non autorisé) en arguant du fait que le matériel utilisé n’est pas sous son contrôle. Il lui incombe, avant d’autoriser la connexion d’un matériel personnel à son système d’information, d’établir un état des risques encourus, en fonction notamment de la nature des données auxquelles il sera donné accès,de la sécurité du matériel utilisé et du contrôle qu’elle pourra exercer tout au long de la durée d’accès (y compris dans l’hypothèse dans laquelle le salarié quitterait l’entreprise).
En substance, il résulte des analyses menées par ICO que l’usage d’un matériel personnel ne peut être autorisé qu’après réalisation d’un audit des risques et avantages pratiques (qui diffèrent selon chaque entreprise) et adhésion du propriétaire du matériel à une « politique BYOD » établissant clairement les droits et obligations dudit propriétaire. Le Guide souligne qu’il est crucial que le responsable de traitement s’assure que les données personnelles qu’il détient restent sous son contrôle. En cas d’atteinte aux données, il lui incombera d’établir qu’il a mis en place les moyens nécessaires au contrôle et à la suppression des données sur chaque matériel autorisé à se connecter au système.
A propos de l’auteur
Anne-Laure Villedieu, avocat associée. Elle intervient en matière de conseils, contentieux, rédactions d’actes et négociations notamment dans les domaines de droit d’auteur, droit de la propriété industrielle (marques, brevets, dessins et modèles), droit de l’informatique, des communications électroniques et protection des données personnelles.
Soumettre un commentaire