• Données personnelles, Informatique et TIC

    par Raphaël Rault

    Bring Your Own Device (BYOD) : risques et solutions

    La CNIL britannique (ICO) vient d’élaborer un guide sur l’encadrement du « Bring Your Own Device » (BYOD) en entreprise, disponible sur son site : http://www.ico.org.uk

    Le BYOD consiste pour les salariés à utiliser leurs périphériques personnels (ordinateurs portables, smartphones, tablettes,…) à des fins professionnelles.

    Principaux risques identifiés :

    •             Catégories de données stockées

    •             Lieu de stockage des données

    •             Modalités de transfert des données

    •             Fuites de données potentielles

    •             Frontière floue entre sphères professionnelle et personnelle

    •             Sécurisation du périphérique

    •             Avenir des données en cas de départ ou d’absence du salarié

    •             Perte, vol et maintenance du périphérique

    Recommandations de l’ICO :

    •             Adoption d’une politique BYOD et réseaux sociaux claire et accessible

    •             Sécurisation des périphériques par des mots de passe forts, le chiffrement des données transférées et stockées, le blocage du périphérique et la suppression des données à distance

    •             Maintien d’une frontière claire entre les sphères professionnelle et personnelle

    •             Utilisation du cloud public avec une extrême prudence

    •             Limitation des outils de monitoring à des finalités transparentes, proportionnées et non excessives

    •             Adoption d’une politique d’accès au système d’information par ces périphériques

    •             Limitation des périphériques autorisés et/ou des applications téléchargeables

    •             Respect du Code ICO des bonnes pratiques pour les employeurs : http://www.ico.org.uk

    L’ICO considère que le BYOD soulève un certain nombre de problématiques de données personnelles dues au fait que le dispositif est la propriété de l’utilisateur et non celle du responsable de traitements.

    Elle rappelle qu’il est crucial pour le responsable de traitements de s’assurer que tous les traitements mis en œuvre par l’utilisateur soient conformes aux textes applicables (en Angleterre : « Data Protection Act 1998 »).

    En particulier dans le cas d’une violation de la sécurité, l’utilisateur (et donc le responsable de traitements) doit être en mesure de démontrer qu’il a sécurisé, contrôlé ou supprimé toutes les données personnelles présentes sur un périphérique particulier.

    Enfin, les dispositifs de contrôle et de sécurisation implémentés sur les périphériques doivent être proportionnés et justifiés aux bénéfices apportés.

    En France, une entreprise a deux solutions : interdire purement et simplement le BYOD ou l’encadrer, notamment dans sa Charte informatique.

    La CNIL n’a à ce jour pas pris position officiellement sur ce sujet.

    Des acteurs comme l’Association Française des Correspondants aux Données Personnelles (AFCDP) nourrissent la réflexion, notamment sur la nécessité ou non d’inverser le principe de l’arrêt NIKON sur ces périphériques :

    • Par défaut tous les fichiers sont présumés personnels et privés ;
    • Par exception les dossiers explicitement marqués du nom de l’entreprise sont réputés professionnels.

    Raphaël RAULT, Avocat et Martine RICOUART-MAILLET, Avocat associé