BYOD est l'acronyme de "Bring Your Own Device", qui fait référence à l'utilisation d'équipements informatiques personnels dans un contexte professionnel.
Temps de lecture : 3mn
Un employé peut utiliser un équipement personnel, tel qu'un ordinateur, une tablette ou un smartphone, pour se connecter à un réseau d'entreprise.
La possibilité d'utiliser des appareils personnels est avant tout un choix de l'employeur, qui peut l'autoriser ou l'interdire sous certaines conditions.
Bien que le code du travail oblige l'employeur à fournir à ses employés les ressources nécessaires à l'exercice de leurs fonctions professionnelles, il n'interdit pas à l'employeur d'autoriser l'utilisation des aides personnelles des employés, qui sont souvent perçues comme plus agréables.
Toutefois, cette décision doit être prise après un examen minutieux des intérêts et des inconvénients d'un tel usage, qui brouille la frontière entre vie personnelle et vie professionnelle.
Les employeurs sont responsables de la sécurité des données à caractère personnel de leur entreprise, y compris lorsqu'elles sont stockées sur des terminaux sur lesquels ils n'ont aucun contrôle physique ou juridique, mais qu'ils peuvent utiliser pour accéder aux ressources informatiques de l'entreprise.
Les précautions à prendre vont des violations occasionnelles de la disponibilité, de l'intégrité et de la confidentialité des données aux compromissions générales du système d'information de l'entreprise (intrusions, virus, chevaux de Troie, etc.).
Commencez par identifier les risques en tenant compte du contexte spécifique (quels équipements, quelles applications, quelles données ?) et évaluez-les en termes de gravité et de probabilité.
Déterminez également les mesures à prendre et formalisez-les dans la politique de sécurité.
Par exemple :
La sécurité du système d'information de l'entreprise et le maintien nécessaire de l'autorité de l'employeur en matière d'orientation et de contrôle doivent être compatibles avec le respect de la vie privée des salariés qui utilisent des équipements personnels dans le cadre de leurs activités professionnelles. Par exemple, il n'est pas possible de prendre des mesures de sécurité qui ont pour objet ou pour effet d'empêcher l'utilisation d'un smartphone dans un environnement privé (interdiction de naviguer sur Internet, de télécharger des applications mobiles).
Il est peu probable que de telles restrictions soient justifiées par la nature des travaux à effectuer et sont disproportionnées par rapport à l'objectif recherché.
De même, un employeur ne peut pas accéder aux informations confidentielles stockées dans la zone personnelle de l'équipement (liste des sites web accessibles, photos, films, agenda, catalogue). En revanche, il doit avoir accès au contenu professionnel stocké dans le terminal.
Si l'employeur peut prévoir la suppression à distance de la partie du terminal personnel spécifiquement destinée à l'accès à distance aux biens de l'entreprise, il ne peut cependant pas se prévaloir du droit de supprimer à distance toutes les données présentes dans le terminal de l'employé.
Le BYOD n'est pas en soi un "traitement de données à caractère personnel". Il s'agit d'un outil technique spécial sur lequel repose le traitement. L'utilisation du Bring Your Own Device ne modifie donc pas les obligations auxquelles le traitement est soumis (inscription au registre des traitements et, le cas échéant, évaluation des implications en matière de protection des données).
Oracle Data Safe : Protéger vos bases de données Oracle
Observatoire de la Tech: Cybersécurité, où en sont les français ?
Adopter Oracle Cloud Infrastructure, conçu selon une architecture “security first”
Cloud de confiance : Sur quels critères objectifs se reposer ?