Le BYOD maîtrisé

Publié le 18/02/2013 - CIO Online - E. Papin

Bring Your Own Device. Derrière cette expression – qui ne connaît pas encore son équivalent en français – se cache une pratique qui soulève de nombreuses questions au sein des DSI. Quels sont les risques ? Quelles sont les obligations de l’entreprise et du salarié ? Que dit la loi ?

Tribune rédigée en collaboration avec Justine Sinibaldi, avocate du Cabinet Feral-Schuhl / Sainte-Marie.

Le droit du travail repose sur un paradigme radicalement opposé à la pratique du BYOD. Sauf exception, il appartient à l’employeur de fournir au salarié les moyens qui lui sont nécessaires à l’accomplissement de sa mission. La démocratisation des Smartphones et des PC portables, l’interpénétration plus grande entre la vie privée et la vie professionnelle ont conduit les salariés à vouloir naturellement utiliser leurs terminaux mobiles non seulement pour leurs besoins propres, mais aussi dans le cadre de leur travail.

Aujourd’hui, la question n’est plus de savoir s’il faut autoriser le BYOD dans son entreprise, mais comment l’encadrer.

Le contrôle de l’outil appartenant au salarié

Le BYOD pose tout d’abord la question de la possibilité pour l’employeur d’avoir accès au contenu du terminal mobile de son salarié. En effet, à partir du moment où le salarié utilise son propre matériel pour son activité professionnelle, l’employeur peut-il avoir accès aux données professionnelles qui y sont stockées ? Par exemple, dans les cas où une entreprise soupçonne un comportement déloyal de son salarié, c’est souvent sur ses outils de travail que l’employeur trouvera les preuves. Sans même aller sur le versant des litiges de la relation de travail, il faut également reconnaître qu’il est nécessaire pour une entreprise d’accéder aux informations qui sont présentes sur ses terminaux, ne serait-ce que pour pouvoir transmettre les documents présents sur le poste de travail d’un salarié absent aux autres employés qui en ont besoin.

La jurisprudence est aujourd’hui particulièrement étoffée sur la question de l’accès par l’employeur aux données stockées sur le poste de travail du salarié. Après quelques hésitations de départ, celle-ci est désormais fixée : « (…) les dossiers et fichiers créés par un salarié grâce à l’outil informatique mis à sa disposition par son employeur pour l’exécution de son travail sont présumés, sauf si le salarié les identifie comme étant personnels, avoir un caractère professionnel de sorte que l’employeur peut y avoir accès hors sa présence  ».

Mais cette jurisprudence est fondée sur un constat de départ : l’outil informatique est mis à disposition du salarié par l’employeur. Or, avec le BYOD, la propriété du matériel est celle du salarié. Cette jurisprudence est-elle donc transposable au BYOD ? A ce jour, il n’y a pas encore de jurisprudence spécifique au BYOD, mais il demeure possible de dégager quelques hypothèses par analogie avec certaines décisions passées.

Dans un arrêt du 11 février 2009, la chambre sociale de la Cour de cassation a décidé que l’employeur « ne peut, sauf circonstances exceptionnelles, ouvrir les sacs appartenant aux salariés pour en vérifier le contenu qu’avec leur accord et à la condition de les avoir avertis de leur droit de s’y opposer et d’exiger la présence d’un témoin ». La Cour procède à un arbitrage entre les deux intérêts opposés de l’employeur et de l’employé en tranchant de manière favorable au salarié. Dans une autre décision du 23 mai 2012, la même chambre sociale de la Cour de cassation a considéré que « l’employeur ne pouvait procéder à l’écoute des enregistrements réalisés par la salariée sur son dictaphone personnel en son absence ou sans qu’elle ait été dûment appelée ». La Cour de cassation reprend ici le principe qu’elle a posé pour l’accès aux contenus informatiques identifiés comme étant personnels par un salarié et présents sur son poste de travail et reconnaît à l’employeur un droit d’accès à ces contenus personnels qui, « sauf risque ou événement particulier », ne peut s’exercer « qu’en présence du salarié ou celui-ci dûment appelé » (Cass. soc., 17 mai 2005).

On peut inférer de ces décisions qu’en matière de BYOD la Cour de cassation inverser sa position par rapport à celle dans laquelle l’employeur est propriétaire des matériels : d’un droit d’accès de principe d’employeur, on passe à un droit d’accès par exception, le contenu du matériel appartenant au salarié étant présumé personnel.

La protection du SI de l’entreprise

Permettre à des terminaux qui ne sont pas sous le contrôle de l’entreprise d’accéder à son système d’information, soulève également une question d’ordre stratégique liée à la protection de la sécurité de ce dernier, au vu des nouveaux risques d’atteinte et d’intrusion qu’ils représentent. L’obligation de garantir la sécurité et la disponibilité du système d’information de l’entreprise conduit logiquement le DSI à conditionner la connexion au réseau d’un appareil personnel à l’installation par son possesseur d’un logiciel de « Mobile Device Management ». Ces logiciels permettent à l’entreprise de limiter l’usage de certaines applications et, en cas de perte ou de vol, de procéder à la suppression à distance du contenu de l’appareil. Or l’utilisation d’un MDM par l’entreprise a des conséquences juridiques, notamment parce qu’elle implique la collecte de données à caractère personnel du salarié.

Dans ce contexte, l’entreprise doit respecter la loi Informatique et Libertés et notamment procéder aux formalités déclaratoires nécessaires auprès de la Cnil, procéder à la collecte des seules données pertinentes et non excessives au regard des finalités du traitement dont elles font l’objet, assurer la sécurité et la confidentialité des données à caractère personnel collectées, informer le salarié du traitement réalisé et lui accorder un droit d’accès et de rectification de ses données et d’opposition à leur traitement.

Qui est responsable de l’utilisation de ces outils ?

Compte tenu des risques d’atteinte qu’un terminal (Smartphone ou PC) représente pour les biens, voire les personnes, le BYOD modifie-t-il la nature des responsabilités encourues pour l’entreprise du seul fait que le terminal ne lui appartient pas ?

La propriété du terminal peut constituer un obstacle à l’accès par l’employeur au contenu stocké sur le poste de travail du salarié. Ce droit de propriété est en revanche plus neutre si l’on s’attache aux risques du BYOD pour l’entreprise. En effet, si un terminal mobile cause un préjudice à l’entreprise (introduction d’un malware par exemple), la situation sera identique pour l’entreprise, que ce matériel soit la propriété de l’entreprise ou du salarié.

Une jurisprudence constante de la Cour de cassation décide que le salarié est responsable des dommages causés à son employeur uniquement en cas de faute lourde équivalente au dol (Cass. Soc. 27 nov. 1958), ou en cas d’intention de nuire du salarié (Cass. Soc. 29 nov. 1990). Dans l’immense majorité des hypothèses, tel ne sera pas le cas lorsqu’un dommage informatique est causé par le salarié au système informatique de son entreprise, par simple négligence, inadvertance, voire tout simplement par méconnaissance. En tout état de cause, s’agissant d’un dommage causé à un tiers par le « device » du salarié, dans le cadre de son usage professionnel, l’employeur restera responsable des actes commis par son salarié quand il a agi sans excéder les limites de sa mission (art. 1384 al. 5 du C. civ.; Cass. Ass. 25 fév. 2000, Costedoat).

Que le dommage ait été causé par l’usage d’un bien, propriété de l’entreprise ou du salarié, la situation est donc identique pour l’entreprise qui reste responsable, en sa qualité de « commettant », des actes de son « commis ». Il est donc indispensable pour l’entreprise qui autorise le BYOD de connaître et d’accepter les risques et responsabilités qu’il peut engendrer.

Temps de travail et participation financière

Mais le recours au BYOD soulève bien d’autres questions, notamment de droit social, dont les DSI doivent avoir pleinement conscience.

La possibilité pour le salarié d’utiliser son Smartphone ou son PC personnel pour consulter et répondre à ses e-mails professionnels décuple les risques liés à la question de la durée légale du temps de travail, mais peut également ouvrir la voie à des accusations d’harcèlement moral ou même de discrimination.

Les implications financières pour l’entreprise du recours au BYOD doivent également être étudiées. En effet, le salarié doit pouvoir se faire rembourser les frais professionnels nécessaires à l’exécution de son contrat de travail qu’il engage pour le compte de l’entreprise. Ainsi si l’utilisation par le salarié de son Smartphone ou de son ordinateur portable personnel lui est indispensable pour travailler, l’employeur devrait participer financièrement aux frais engagés par le salarié.

C’est pourquoi la direction des ressources humaines doit être associée par la DSI à ses réflexions sur l’autorisation du recours au BYOD afin de décider par exemple de l’opportunité de limiter l’accès au système d’information et aux e-mails de l’entreprise aux heures de travail.

La nécessaire charte du BYOD

En définitive, dans une situation vierge de tout encadrement légal et de toute jurisprudence, l’entreprise qui autorise le BYOD a un intérêt évident à fixer les règles du jeu de cette pratique.

C’est la charte informatique, dont la jurisprudence reconnaît aujourd’hui le caractère contraignant, qui doit permettre de fixer les règles d’utilisation du terminal personnel du salarié et de sanctionner leur non-respect.

L’établissement d’une charte du BYOD permettra notamment à l’employeur de définir :

– les prérequis à respecter par le salarié avant d’utiliser son terminal personnel dans le cadre de son activité professionnelle et les règles relatives à l’accès au SI de l’entreprise (configuration du terminal personnel par l’installation de logiciels, mots de passe…) ;

– les modalités d’accès par l’employeur aux informations professionnelles qui y sont stockées ;

– les modalités de reprise et nettoyage des données en cas de départ de l’employé, perte ou vol du terminal ;

– les règles d’utilisation dans le cadre du travail (horaires) et pour les besoins du travail ;

– les modalités de participation financière éventuelle de l’entreprise ;

– les conditions d’entretien, d’assistance, de maintenance et de remplacement applicables.

Intégrée au règlement intérieur, la charte obéit toutefois à des règles d’adoption strictes qu’il faut également anticiper : information et consultation du Comité d’entreprise (art. L. 2323-13 Code du travail), communication à l’Inspection du travail, dépôt au Conseil des Prud’hommes, affichage et communication au sein de l’entreprise…

Autres publications