La Commission Nationale de l’Informatique et des Libertés (CNIL) a publié le mois dernier une fiche d’information sur les bonnes pratiques « BYOD ».
BYOD est l’acronyme de « Bring Your Own Device », dont l’équivalent français est « AVEC », c’est à dire « Apportez Votre Equipement personnel de Communication », et qui désigne la pratique pour les employés d’apporter leurs outils de communication personnels dans l’entreprise et de les utiliser à des fins professionnelles.
Les employés connectent ainsi leur ordinateur portable ou leur tablette au système informatique de l’entreprise et les utilisent afin de créer des documents professionnels, ou bien ils utilisent leur téléphone portable personnel pour envoyer et recevoir des courriels et des textos professionnels. Cette pratique intéresse le droit social, en particulier le droit de la protection de la vie privée du salarié, mais également la protection des données personnelles traitées par l’entreprise, ainsi que la sécurité du système informatique de l’entreprise.
Le BYOD et la protection de la vie privée du salarié
Rappelons que la Cour de cassation considère que « les fichiers créés par le salarié à l’aide de l’outil informatique mis à sa disposition par l’employeur pour les besoins de son travail sont présumés avoir un caractère professionnel, en sorte que l’employeur est en droit de les ouvrir hors la présence de l’intéressé, sauf si le salarié les identifie comme étant personnels » (Soc. 10 mai 2012, n° 11-13.884). Cette jurisprudence peut-elle également s’appliquer si le salarié a créé un fichier à l’aide d’un outil informatique personnel, mais connecté au système informatique de l’entreprise, qui lui, est bien « mis à la disposition par l’employeur » ? En ce cas, il faudrait que le salarié identifie tous ses fichiers personnels comme tels, même si seulement quelques fichiers sauvegardés sur son outil personnel sont professionnels, et ce afin de garantir que l’employeur ne puisse y accéder hors de sa présence…
Cela ne paraît pas souhaitable, et ce n’était pas la solution retenue par la Chambre sociale, quelques jours après l’arrêt du 10 mai 2012. Selon la Cour de cassation, un employeur ne peut pas « procéder à l’écoute d [‘]enregistrements réalisés par [une salariée] sur son dictaphone personnel en son absence ou sans qu’elle ait été dûment appelée » (Soc. 23 mai 2012, n° 10-23.521). Il semblait bien, après cet arrêt, que les tous les outils de communications personnels utilisés de manière professionnelle, ainsi que les fichiers qu’ils contiennent, devaient être considérés comme personnels, et que, par conséquent, un employeur ne pouvait y accéder hors de la présence de l’employé.
Mais la Chambre sociale rendit un autre arrêt le 12 février 2013 où elle considéra cette fois qu’« une clé USB, dès lors qu’elle est connectée à un outil informatique mis à la disposition du salarié par l’employeur pour l’exécution du contrat de travail, étant présumée utilisée à des fins professionnelles, l’employeur peut avoir accès aux fichiers non identifiés comme personnels qu’elle contient, hors la présence du salarié » (Soc. 12 févr. 2013, n° 11-28.649). Il semble bien que les outils personnels de communication électronique des employés, utilisés à des fins professionnelles, doivent être considérés comme des outils professionnels, et les fichiers qu’ils contiennent doivent être considérés comme professionnels, à moins que leur caractère personnel ne soit clairement indiqué. Il est vrai qu’une clé USB n’est pas un outil de communication électronique et sa fonction est uniquement de conserver des fichiers, non d’en créer, mais il semble que la Cour de cassation attache de l’importance à la connexion à un outil informatique professionnel mis à la disposition de l’employé pour décider de la nature, professionnelle ou bien personnelle, d’un outil particulier.
Le BYOB et la sécurité des données personnelles
L l’utilisation du BYOD comporte un risque pour la sécurité des données personnelles traitées par l’entreprise. La CNIL rappelle dans sa fiche d’information que :
« L’employeur est responsable de la sécurité des données personnelles de son entreprise, y compris lorsqu’elles sont stockées sur des terminaux dont il n’a pas la maîtrise physique ou juridique, mais dont il a autorisé l’utilisation pour accéder aux ressources informatiques de l’entreprise ».
En effet, l’article 34 de la loi Informatiques et Libertés donne au responsable du traitement la responsabilité de préserver la sécurité des données et, notamment, d’« empêcher que des tiers non autorisés y aient accès ». Par conséquent, l’employé risque, par exemple, de voir effacer toutes les données personnelles contenues dans son téléphone ou son ordinateur portable si l’employeur efface à distance tous ses fichiers afin de protéger les données personnelles qu’il contient afin de satisfaire ainsi à son obligation de protection des données personnelles.
Il est nécessaire pour l’entreprise d’avoir des règles BYOD
Ces règles devraient informer les employés de leurs droits, mais également de leurs responsabilités, telles que, par exemple :
- L’obligation d’avoir un mot de passe
- L’obligation d’encrypter les données
- L’obligation de ne pas consulter les données de l’entreprise en utilisant un réseau non sécurisé
La CNIL offre des pistes dans sa fiche d’information, telle que :
« cloisonner les parties de l’outil personnel ayant vocation à être utilisées dans un cadre professionnel (création d’une « bulle de sécurité ») ;
contrôler l’accès distant par un dispositif d’authentification robuste de l’utilisateur (si possible à l’aide d’un certificat électronique, d’une carte à puce…) ;
mettre en place des mesures de chiffrement des flux d’informations (VPN, HTTPS, etc.) ;
prévoir une procédure en cas de panne/perte du terminal personnel (information de l’administrateur réseau, mise à disposition d’un équipement alternatif professionnel, effacement à distance des données professionnelles stockées sur le terminal personnel) ;
exiger le respect de mesures de sécurité élémentaires telles que le verrouillage du terminal avec un mot de passe suffisamment robuste, renouvelé régulièrement (8 caractères avec des lettres minuscules, majuscules, des chiffres et des caractères spéciaux) et l’utilisation d’un antivirus à jour ».
En outre, l’entreprise pourrait adresser dans ce document la question du coût des communications téléphoniques et électroniques professionnelles effectuées sur un outil de communication personnel. Aux États-Unis, une cour d’appel de la Californie a décidé en 2014 que le droit du travail de la Californie requiert que l’employeur rembourse les employés qui utilisent leur téléphone portable personnel pour des communications professionnelles durant le weekend (Cochran v Schwan’s Home Service, Inc.). Aucun tribunal français n’a eu à juger un tel cas, mais cela pourrait venir.
Le recours au BYOD ne nécessite pas de nouvelle déclaration à la CNIL
La CNIL précise dans sa fiche que :
« Lorsque l’employeur a effectué une déclaration normale de gestion du personnel incluant le traitement des données personnelles pour assurer la sécurité et le bon fonctionnement des systèmes d’information, il n’y a pas lieu de procéder à une nouvelle déclaration du fait du recours au BYOD. C’est le cas aussi s’il a désigné un Correspondant informatique et libertés ».
Cette « déclaration normale » est la déclaration simplifiée n°46, qui permet aux entreprises de bénéficier d’une procédure de déclaration simplifiée de conformité de leur traitement automatisé relatif à la gestion du personnel s’ils répondent aux conditions énumérées par la norme.
La CNIL indique au bas de sa fiche plusieurs textes de référence, en particulier l’article L2323-32 et l’article L.1222-4 du code du travail. Selon l’article L.1222-4, « Aucune information concernant personnellement un salarié ne peut être collectée par un dispositif qui n’a pas été porté préalablement à sa connaissance ». En outre, selon l’article L.2323-32, le comité d’entreprise doit être informé « préalablement à leur introduction dans l’entreprise, sur les traitements automatisés de gestion du personnel et sur toute modification de ceux-ci. »
La CNIL n’a pas cité l’article L.2323-13 du code du travail, selon lequel « [l]e comité d’entreprise est informé et consulté, préalablement à tout projet important d’introduction de nouvelles technologies, lorsque celles-ci sont susceptibles d’avoir des conséquences sur l’emploi, la qualification, la rémunération, la formation ou les conditions de travail. » Il convient d’en conclure que la CNIL ne considère pas le BYOD comme « l’introduction d’une nouvelle technologie » dans l’entreprise.
Image is courtesy of Flickr user Seattle Municipal Archives under a CC BY 2.0 license.