Bring Your Own Device : quels enjeux pour les employeurs ?
17 janvier 2014
L’utilisation par un salarié de son propre matériel électronique à des fins professionnelles, bien qu’encouragée parfois par les entreprises, s’avère poser des difficultés en l’absence d’encadrement juridique spécifique.
« Bring Your Own Device » (littéralement « apportez vos propres terminaux ») consiste pour le salarié à utiliser son matériel personnel à des fins professionnelles. Ce phénomène répond à une réelle demande de la part des salariés, préférant utiliser leur ordinateur, tablette ou smartphone plutôt que ceux, souvent jugés moins performants, fournis par l’employeur.
Côté entreprise, le Bring your Own Device (BYOD) est parfois toléré et dans certains cas encouragé. Cependant, en l’absence d’encadrement légal, le BYOD risque de compliquer la vie des entreprises.
Quels enjeux en droit du travail ?
Le BYOD soulève de nombreuses questions, auxquelles les réponses ne sont pas évidentes.
Quel contrôle ?
Le BYOD soulève des questions liées au respect de la vie privée du salarié et à l’étendue du contrôle de l’employeur sur l’activité de ses salariés.
Si les règles du jeu sont aujourd’hui claires concernant le contrôle d’un outil fourni par l’employeur, le BYOD repose sur un nouveau postulat : l’outil n’appartient plus à l’employeur. Limiter l’usage personnel, contrôler les connexions ou bloquer certains sites, sont autant de pratiques rendues possibles par la présomption de professionnalité posée par la jurisprudence quand le matériel appartient à l’employeur.
Avec le BYOD, une logique différente s’impose.
Sur ce point, deux arrêts récents de la Cour de cassation viennent apporter un éclairage intéressant.
Dans un arrêt du 23 mai 2012, la Cour de Cassation confirme le principe du respect de la vie privée au travail s’agissant d’un dictaphone personnel. L’employeur ne pouvait pas en contrôler le contenu en l’absence du salarié ou sans l’avoir dûment appelé. Ainsi, le fait que le matériel soit la propriété du salarié n’empêche pas le contrôle sur le lieu de travail, pour autant que le salarié soit présent ou dûment appelé. Dans un arrêt du 12 février 2013, la Cour a par ailleurs appliqué la présomption de professionnalité à l’égard d’une clé USB personnelle, dès lors que celle-ci était connectée à l’ordinateur professionnel.
Ces solutions pourraient parfaitement être retenues, s’agissant d’autres outils personnels utilisés et connectés à des fins professionnelles.
Quel impact sur le temps de travail ?
Le BYOD risque de bouleverser la notion de temps de travail effectif, dans la mesure où le BYOD entraîne la dissolution de la frontière entre le temps de travail et le temps de repos. Si le problème se pose déjà de manière générale avec les NTIC (nouvelles technologies de l’information et de la communication), il est clairement aggravé par le BYOD.
Des risques nouveaux pour l’employeur ?
L’employeur devra être particulièrement vigilant quant aux risques psycho-sociaux et aux problématiques d’égalité de traitement, induits par le BYOD.
L’ « hyper-connectivité » des salariés représente en effet un réel risque pour l’employeur quand ses salariés envoient et reçoivent des emails 24/24, 7 jours sur 7. Or, il faut rappeler que l’employeur est tenu à une obligation de résultat quant à la sécurité et la santé des salariés.
Les risques liés à l’égalité de traitement sont également à prendre en compte : les salariés pouvant s’offrir les outils les plus performants risquent d’être eux-mêmes plus performants en se dotant d’applications leur permettant une meilleure productivité.
Quels risques pour l’entreprise ?
La connexion au système d’information de l’entreprise d’outils hétérogènes et non maîtrisés par l’employeur soulève de sérieuses questions de sécurité. Le BYOD multiplie indéniablement les risques d’intrusion. Le phénomène a été baptisé « Bring your own disaster » par certaines Directions des systèmes d’information, traduisant bien l’ampleur du risque.
Selon l’Agence Nationale de Sécurité Systèmes d’Information (ANSSI), « il est illusoire d’espérer atteindre un haut niveau de sécurité avec un ordiphone ou une tablette ordinaire, quel que soit le soin consacré à son paramétrage » (« Recommandations de sécurité relatives aux ordiphones » du 19 juin 2013). Selon l’ANSSI, les exigences de sécurité sont incompatibles avec la mise en œuvre d’une politique de BYOD. Des solutions de gestions de flotte (Mobile device Management) ou de la mobilité (Enterprise Mobility Management) existent néanmoins, et doivent être mises en œuvre dans le respect de la vie privée des salariés. Le BYOD implique une vigilance toute particulière dans les entreprises traitant des données à caractère personnel, au sens de la loi « Informatique et Libertés » du 6 janvier 1978. L’employeur, en qualité de responsable de traitement, doit garantir la sécurité des données permettant l’identification directe ou indirecte de personnes physiques (contacts clients, données de paiement…). La loi lui impose de mettre en œuvre les mesures de sécurité nécessaires en vue de garantir l’intégrité et la confidentialité de ces données. Or de telles sécurités peuvent difficilement être mises en œuvre s’agissant d’outils qui ne sont pas la propriété de l’entreprise. Le fait que les salariés connectent leurs smartphones et tablettes personnelles au réseau de l’entreprise, sans les avoir systématiquement paramétrés en vue d’en garantir la sécurité en cas de perte ou de vol, accroît les risques. En cas de perte de l’outil, un utilisateur indélicat pourrait accéder aux données personnelles stockées dans les systèmes de l’entreprise, créant une faille de sécurité dont l’employeur pourrait être tenu pénalement responsable. Il est donc indispensable de mettre en place une politique de BYOD permettant à l’entreprise de se conformer à ses obligations aux termes de la loi Informatique et Libertés.
Quelles recommandations ?
A ce jour, faute d’un encadrement juridique spécifique, il appartient aux entreprises d’apporter des réponses pratiques. Les chartes informatiques devraient constituer des outils efficaces pour déterminer les conditions d’utilisation et de contrôle des outils dans le cadre du BYOD et ainsi concilier les impératifs de sécurité avec le nécessaire respect de la vie privée.
A propos des auteurs
Caroline Froger-Michon, avocat. Son expertise porte sur les restructurations (transfert des contrats de travail, adaptation des statuts collectifs, articulation des procédures),les licenciements collectifs, les plans de départ volontaire, le droit des comités d’entreprise et des comités européens, les expertises (CE/CHSCT, …), les chartes éthiques et procédures d’alerte, les discriminations, le harcèlement, les risques psycho-sociaux.
Anne-Laure Villedieu, avocat associée. Elle intervient en matière de conseils, contentieux, rédactions d’actes et négociations notamment dans les domaines de droit d’auteur, droit de la propriété industrielle (marques, brevets, dessins et modèles), droit de l’informatique, des communications électroniques et protection des données personnelles.
A lire également
L’intermédiaire commercial doit tirer les conséquences des mises en rela... 24 décembre 2015 | CMS FL

La dématérialisation du droit social est en marche... 6 avril 2022 | Pascaline Neymond

Le dialogue des carmélites selon D. Tcherniakov : limites du droit moral et pro... 15 novembre 2017 | CMS FL

Protection des données : à nouveau règlement, nouvelle donne... 6 décembre 2017 | CMS FL

Forfait mobilités durables : quel bilan deux ans après ?... 22 avril 2022 | Pascaline Neymond

Open Data : protection des archives publiques par le droit sui generis des produ... 5 août 2015 | CMS FL

Restructuring, entreprises en difficulté : la faute ou légèreté blâmable de... 26 novembre 2020 | CMS FL Social

Les parlementaires mobilisés autour des nouvelles technologies... 23 mai 2017 | CMS FL

Articles récents
- L’étendue du contrôle de l’administration sur la prévention des risques psychosociaux dans le cadre d’un PSE
- Mise en place du groupe spécial de négociation dans le cadre de la création d’une société européenne : étapes et marche à suivre
- La semaine de quatre jours ou comment flexibiliser l’organisation du travail dans le respect des contraintes juridiques
- Dialogue social dans le secteur des VTC : l’accord fixant le revenu minimum net par course est homologué
- Détachement de travailleurs : modification de la déclaration préalable et de l’attestation de détachement
- Directives sur des conditions de travail transparentes et prévisibles et sur l’équilibre entre vie professionnelle et vie privée : la loi de transposition est publiée !
- Eoliennes en mer : les impacts en droit social de la loi relative à l’accélération de la production d’énergies renouvelables
- Défaut d’information-consultation du CSE sur les conséquences environnementales d’un projet de restructuration d’entreprise : premières décisions des juges du fond
- Le droit du travail adapté au droit de l’Union européenne
- Accord national interprofessionnel sur le partage de la valeur : quelles sont les principales dispositions ?