SYSTÈMES D’INFORMATION
Lionel Prades, consultant en sécurité informatique chez Lexsi, met en évidence 4 risques juridiques que le développement du Byod peut entraîner dans les entreprises.
En plein développement dans les entreprises actuellement, le Byod ou Brying your own device, désigne l’ensemble des matériels personnels divers – téléphones, « smarts » ou non, ordinateurs portables et autres tablettes - susceptibles d’être utilisés dans ou pour l’entreprise par ses salariés. Si les arguments, notamment financiers, en faveur du développement du Byod sont nombreux, les risques juridiques que ces outils peuvent représenter, le sont aussi, comme le souligne Lionel Prades, consultant en sécurité informatique au sein de Lexsi, cabinet indépendant spécialisé en sécurité informatique et gestion des risques.
Requalification du temps de travail
Avec le Byod, difficile d’établir une frontière nette entre le temps de travail, et le temps « off », ce qui n’est pas sans risque en terme de législation du travail. « Un salarié pourrait tenter de faire requalifier une partie de son temps passé hors de l’entreprise en « temps de travail », en arguant qu’il a reçu des mails à traiter urgemment à toute heure du jour et de la nuit. La société pourrait même être accusée de ne pas respecter les lois sur le temps maximum de travail ». Si avec la mobilité croissance, le risque est inhérent aujourd’hui à un nombre croissant d’univers de travail où la mobilité, le Byod accroît ce risque car le mélange des genres entre vie privée et professionnelle y est quantifiable : « la preuve est stockée dans l’équipement dont le salarié a, en outre, la propriété », souligne Lionel Prades.
Engagement de la responsabilité de la société
L’entreprise peut se voir attaquée par des tiers. « Quelle sera sa responsabilité si l’un de ses salariés utilise volontairement son équipement pour lancer des attaques depuis le réseau ? », illustre Lionel Prades. Même en l’absence de poursuites, l’image de l’entreprise risque de souffrir si ses employés utilisent leur matériel pour, par exemple, télécharger du contenu illicite depuis l’entreprise ? Autant dire que « tous ces cas d’usage et les interdits associés doivent être précisés dans la charte engageant l’utilisateur, afin de protéger les intérêts de l’entreprise en cas d’abus ou de compromission du matériel ». Mais le salarié lui-même peut, dans certains cas, souhaiter engager la responsabilité de l’entreprise… « Un salarié peut-il demander un dédommagement en cas de vol sur le lieu de travail de son équipement personnel, ou si ce dernier a été infecté lors d’une connexion au réseau de l’entreprise ? », souligne Lionel Prades.
Risque sur la confidentialité des données
En pratique, l’entreprise n’a qu’un droit de regard limité sur les usages fait par ses salariés de leur équipement personnel, ce qui pose des problèmes sur la confidentialité des données contenues, par exemple, dans la tablette ou le téléphone. « L’entreprise ne peut pas interdire le prêt du matériel la famille ou à un proche, ou encore l’installation de logiciels privés…», explique Lionel Prades. Sans compter que le risque se pose aussi lors d’une éventuelle revente du matériel, ou en cas d’intervention d’un service après-vente… Comment faire face à ce risque ? « Des solutions techniques existent, mais leur coût est tel que le retour sur investissement de l’opération va en être largement modifié », indique Lionel Prades.
Un risque sur les licences des logiciels
Que ce soit l’entreprise ou le salarié qui installent les logiciels, le suivi des licences est concrètement beaucoup plus complexe lorsque le matériel n’appartient pas à l’entreprise. Avec le risque pour cette dernière de se voir attaquée par les fournisseurs en cas de mauvaise adéquation entre l’usage et les brevets… « L’entreprise devra a minima interdire explicitement l’utilisation de logiciel sans licence ou de logiciel avec une licence non compatible avec un usage professionnel », estime Lionel Prades. Sauf que, quels que soient les chartes ou règlements, le vrai problème, ensuite, sera pour l’entreprise de contrôler que les principes édictés sont bien respectés.