Bring Your Own Device : quels enjeux pour les employeurs ?
17 janvier 2014
L’utilisation par un salarié de son propre matériel électronique à des fins professionnelles, bien qu’encouragée parfois par les entreprises, s’avère poser des difficultés en l’absence d’encadrement juridique spécifique.
« Bring Your Own Device » (littéralement « apportez vos propres terminaux ») consiste pour le salarié à utiliser son matériel personnel à des fins professionnelles. Ce phénomène répond à une réelle demande de la part des salariés, préférant utiliser leur ordinateur, tablette ou smartphone plutôt que ceux, souvent jugés moins performants, fournis par l’employeur.
Côté entreprise, le Bring your Own Device (BYOD) est parfois toléré et dans certains cas encouragé. Cependant, en l’absence d’encadrement légal, le BYOD risque de compliquer la vie des entreprises.
Quels enjeux en droit du travail ?
Le BYOD soulève de nombreuses questions, auxquelles les réponses ne sont pas évidentes.
Quel contrôle ?
Le BYOD soulève des questions liées au respect de la vie privée du salarié et à l’étendue du contrôle de l’employeur sur l’activité de ses salariés.
Si les règles du jeu sont aujourd’hui claires concernant le contrôle d’un outil fourni par l’employeur, le BYOD repose sur un nouveau postulat : l’outil n’appartient plus à l’employeur. Limiter l’usage personnel, contrôler les connexions ou bloquer certains sites, sont autant de pratiques rendues possibles par la présomption de professionnalité posée par la jurisprudence quand le matériel appartient à l’employeur.
Avec le BYOD, une logique différente s’impose.
Sur ce point, deux arrêts récents de la Cour de cassation viennent apporter un éclairage intéressant.
Dans un arrêt du 23 mai 2012, la Cour de Cassation confirme le principe du respect de la vie privée au travail s’agissant d’un dictaphone personnel. L’employeur ne pouvait pas en contrôler le contenu en l’absence du salarié ou sans l’avoir dûment appelé. Ainsi, le fait que le matériel soit la propriété du salarié n’empêche pas le contrôle sur le lieu de travail, pour autant que le salarié soit présent ou dûment appelé. Dans un arrêt du 12 février 2013, la Cour a par ailleurs appliqué la présomption de professionnalité à l’égard d’une clé USB personnelle, dès lors que celle-ci était connectée à l’ordinateur professionnel.
Ces solutions pourraient parfaitement être retenues, s’agissant d’autres outils personnels utilisés et connectés à des fins professionnelles.
Quel impact sur le temps de travail ?
Le BYOD risque de bouleverser la notion de temps de travail effectif, dans la mesure où le BYOD entraîne la dissolution de la frontière entre le temps de travail et le temps de repos. Si le problème se pose déjà de manière générale avec les NTIC (nouvelles technologies de l’information et de la communication), il est clairement aggravé par le BYOD.
Des risques nouveaux pour l’employeur ?
L’employeur devra être particulièrement vigilant quant aux risques psycho-sociaux et aux problématiques d’égalité de traitement, induits par le BYOD.
L’ « hyper-connectivité » des salariés représente en effet un réel risque pour l’employeur quand ses salariés envoient et reçoivent des emails 24/24, 7 jours sur 7. Or, il faut rappeler que l’employeur est tenu à une obligation de résultat quant à la sécurité et la santé des salariés.
Les risques liés à l’égalité de traitement sont également à prendre en compte : les salariés pouvant s’offrir les outils les plus performants risquent d’être eux-mêmes plus performants en se dotant d’applications leur permettant une meilleure productivité.
Quels risques pour l’entreprise ?
La connexion au système d’information de l’entreprise d’outils hétérogènes et non maîtrisés par l’employeur soulève de sérieuses questions de sécurité. Le BYOD multiplie indéniablement les risques d’intrusion. Le phénomène a été baptisé « Bring your own disaster » par certaines Directions des systèmes d’information, traduisant bien l’ampleur du risque.
Selon l’Agence Nationale de Sécurité Systèmes d’Information (ANSSI), « il est illusoire d’espérer atteindre un haut niveau de sécurité avec un ordiphone ou une tablette ordinaire, quel que soit le soin consacré à son paramétrage » (« Recommandations de sécurité relatives aux ordiphones » du 19 juin 2013). Selon l’ANSSI, les exigences de sécurité sont incompatibles avec la mise en Å“uvre d’une politique de BYOD. Des solutions de gestions de flotte (Mobile device Management) ou de la mobilité (Enterprise Mobility Management) existent néanmoins, et doivent être mises en Å“uvre dans le respect de la vie privée des salariés. Le BYOD implique une vigilance toute particulière dans les entreprises traitant des données à caractère personnel, au sens de la loi « Informatique et Libertés » du 6 janvier 1978. L’employeur, en qualité de responsable de traitement, doit garantir la sécurité des données permettant l’identification directe ou indirecte de personnes physiques (contacts clients, données de paiement…). La loi lui impose de mettre en Å“uvre les mesures de sécurité nécessaires en vue de garantir l’intégrité et la confidentialité de ces données. Or de telles sécurités peuvent difficilement être mises en Å“uvre s’agissant d’outils qui ne sont pas la propriété de l’entreprise. Le fait que les salariés connectent leurs smartphones et tablettes personnelles au réseau de l’entreprise, sans les avoir systématiquement paramétrés en vue d’en garantir la sécurité en cas de perte ou de vol, accroît les risques. En cas de perte de l’outil, un utilisateur indélicat pourrait accéder aux données personnelles stockées dans les systèmes de l’entreprise, créant une faille de sécurité dont l’employeur pourrait être tenu pénalement responsable. Il est donc indispensable de mettre en place une politique de BYOD permettant à l’entreprise de se conformer à ses obligations aux termes de la loi Informatique et Libertés.
Quelles recommandations ?
A ce jour, faute d’un encadrement juridique spécifique, il appartient aux entreprises d’apporter des réponses pratiques. Les chartes informatiques devraient constituer des outils efficaces pour déterminer les conditions d’utilisation et de contrôle des outils dans le cadre du BYOD et ainsi concilier les impératifs de sécurité avec le nécessaire respect de la vie privée.
A propos des auteurs
Caroline Froger-Michon, avocat. Son expertise porte sur les restructurations (transfert des contrats de travail, adaptation des statuts collectifs, articulation des procédures),les licenciements collectifs, les plans de départ volontaire, le droit des comités d’entreprise et des comités européens, les expertises (CE/CHSCT, …), les chartes éthiques et procédures d’alerte, les discriminations, le harcèlement, les risques psycho-sociaux.
Anne-Laure Villedieu, avocat associée. Elle intervient en matière de conseils, contentieux, rédactions d’actes et négociations notamment dans les domaines de droit d’auteur, droit de la propriété industrielle (marques, brevets, dessins et modèles), droit de l’informatique, des communications électroniques et protection des données personnelles.
A lire également
Alertes professionnelles : la CNIL étend le champ d’application de l&rsqu... 1 avril 2014 | CMS FL
Clause de non-concurrence : le renouvellement doit être exprès... 13 décembre 2022 | Pascaline Neymond
De l’esprit critique de l’huissier en matière de saisies-contrefaç... 16 février 2016 | CMS FL
Biométrie sur les lieux de travail : publication du règlement type de la CNIL... 3 mai 2019 | CMS FL
Forums de discussion : les propos diffamatoires doivent être promptement suppri... 22 novembre 2016 | CMS FL
Infractions de presse sur Internet : l’assignation doit être dirigée contre ... 6 juin 2016 | CMS FL
Recommandation n°17-02 de la Commission des clauses abusives sur les contrats r... 12 septembre 2018 | CMS FL
Liberté d’expression versus obtention déloyale d’informations : la libertÃ... 22 février 2017 | CMS FL
Articles récents
- Syntec : quelles actualités ?
- Modification du taux horaire minimum de l’allocation d’activité partielle et de l’APLD
- Congés payés acquis et accident du travail antérieurs à la loi : premier éclairage de la Cour de cassation
- Télétravail à l’étranger et possible caractérisation d’une faute grave
- La « charte IA » : un outil de contrôle et de conformité désormais incontournable
- Rapport de durabilité : la nouvelle obligation de consultation du CSE entre en vigueur le 1er janvier 2025
- Statut de lanceur d’alerte : le Défenseur des droits et la jurisprudence précisent ses contours
- Enquêtes internes : des règles en constante évolution
- Pas de co-emploi sans immixtion dans la gestion économique et sociale de la société : illustration en présence d’une société d’exploitation
- Fixation du plafond de la sécurité sociale pour 2025