52 / 68
I
l y a trois ans, Patrick Pailloux, alors Directeur de
l’ANSSI (Agence nationale de la sécurité des systèmes
d'information), avait déclenché une véritable polé-
mique au sein du monde de la sécurité des systèmes
d’information en se déclarant contre le BYOD (“Bring
Your Own Device” ou «apportez votre propre matériel»).
Cette pratique consiste à permettre aux salariés d’utiliser
leurs terminaux numériques personnels (smartphone,
tablette, ordinateur portable) pour accéder aux données
de l’entreprise. Le message de l’ex-patron de l’ANSSI
semble avoir été entendu, puisque 66% des entreprises
interrogées déclarent interdire le BYOD, alors qu’elles
n’étaient que 38% en 2012
1
4ette évolution ne signifie
pas que la pratique ne perdure pas.
Si les grands groupes sont réticents, le BYOD est en
revanche souvent en usage dans les start-up ou dans
certaines PME, qui n’ont pas les moyens de gérer une
potte de terminaux Par ailleurs tous les pahs n¬ont
pas les mêmes comportements que la France. Dans
une étude mondiale sortie en juin dernier, l’entreprise
américaine de conseil et de recherche, Gartner, prévoit
que d'ici 2017 «
un employeur sur deux exigera de ses
employés qu'ils utilisent leurs appareils personnels au
travail
». De plus, les organisations devront «
mettre en
œuvre, dès à présent, des stratégies de BYOD offrant de la
flexibilité aux employés, en assurant dans le même temps
la sécurité au niveau de l'entreprise
». Cela peut se faire,
par exemple, en proposant aux salariés de rembourser
une partie, voire l’intégralité du matériel et/ou des
frais d’abonnement. Quant aux éléments de sécurité,
ils passent par des codes d’accès personnalisés au
système d’information ou par la séparation logicielle
des données personnelles et professionnelles.
IMPLANTER UN PROJET BYOD :
COMPTER UN AN
Le modèle BYOD séduit par ses nombreux avantages :
l’entreprise n’a pas à investir pour l’équipement de ses
collaborateurs, qui ont parfois à titre personnel des
machines plus puissantes que celles qui pourraient être
mises à leur disposition. L’employeur n’a pas à se soucier
de la gestion de la potte Il a l¬assurance d¬une prise en
main immédiate par l’utilisateur, qui retrouve un envi-
ronnement de travail familier.
Avocat à la Cour spécialiste des questions technolo-
giques, Éric Caprioli est régulièrement consulté pour
la mise en place du BYOD. Pour lui, le choix de cette
démarche doit se faire en concertation avec le service
juridique, la DRH, la SSI, et même le CIL quand il
existe Mais au final constatetil
peu de projets
aboutissent dans une grande entreprise. Il faut près
d’un an pour l’implanter et cela soulève énormément
de problèmes. Il y a deux risques juridiques majeurs :
d’abord, la perte ou le vol de l’appareil peut amener
l’entreprise à effacer toutes les données, notamment
les informations personnelles ; ensuite, la difficulté à
gérer les accès au système d’information via des maté-
riels et des systèmes d'exploitation hétérogènes
».
Autre élément souvent occulté : «
l’appareil du salarié
possède une licence qui autorise un usage personnel et
familial. S’il y a usage professionnel, c’est une infrac-
tion par rapport à la licence
Enfin note l¬avocat
peuvent appara&tre des problématiques fiscales :
«
Lorsque l’entreprise donne une certaine somme pour
financer l’appareil, est-ce un avantage en nature ou un
remboursement de frais profes-
sionnels ? Les deux situations
ne sont pas traitées fiscale-
ment de la même façon
».
Aux aspects juridiques
s’ajoutent des questions
qui relèvent des RH :
«
l’entreprise doit donner au
salarié les moyens de réaliser
sa mission. Or le BYOD peut
engendrer des discriminations
en fonction de l’équipement du
collaborateur. C’est pourquoi, il
est impératif d’avoir une charte
afin d’encadrer précisément les
usages
», relève Éric Caprioli.
BYOD : UNE PRATIQUE
À RISQUE QUI DOIT ÊTRE
PARTICULIÈREMENT ENCADRÉE
Lamixité des usages professionnels et domestiques de l’ordinateur, du téléphone ou de la tablette
personnels, soulève de nombreuses questions juridiques, de RH et de sécurité.
Éric Caprioli,
Avocat à la Cour
1
Enquête sur les pratiques de
sécurité en France réalisée en
2014 par le Club de la Sécurité
de l'Information Français.
Par Florence Puybareau
ATOUT RISK MANAGER, LA REVUE DE L’AMRAE
I N°6 I
OCTOBRE 2015
52
VEILLE ET POSITION