byod-rgpd

Définition: Bring Your Own Device

« Bring Your Own Device », que l’on peut traduire simplement par « apportez votre appareil personnel » est officiellement nommé en français par l’abréviation AVEC pour « Apportez votre équipement personnel de communication ». En bref, cela signifie qu’au lieu de travailler avec l’ordinateur de la société au bureau, vous utilisez vos appareils mobiles privés (par exemple un ordinateur portable, une tablette ou un smartphone) dans un cadre professionnel. Le terme désigne aussi de manière générale la ligne directrice qui régit la mise en œuvre d’un tel principe, à savoir la BYOD Policy.

Le concept du BYOD n’est pas uniquement utilisé dans un contexte professionnel, mais aussi au niveau des universités, bibliothèques, écoles et autres institutions (essentiellement éducatives). Ici aussi, il s’agit de se déplacer dans le réseau interne de l’institution concernée avec les terminaux mobiles que vous avez apportés vous-même, et cela au lieu d’utiliser la gamme de matériel existante. La mise en œuvre d’un tel concept BYOD nécessite toutefois une ligne directrice claire (BYOD policy). Elle définit ainsi la manière dont les utilisateurs peuvent utiliser leurs propres appareils électroniques sur le réseau, les exigences de sécurité existantes et les règles de conduite à respecter.

Dans une entreprise, une telle ligne directrice est généralement élaborée en collaboration avec les salariés ou le comité d’entreprise et fixée dans un accord complémentaire directement dans le contrat de travail. Ceci est également nécessaire, car le BYOD est associé à de nombreuses questions complexes qui nécessitent une clarification précise, telles que le contrôle et les droits d’accès, la vie privée des employés et la protection des données dans l’entreprise. Comme le « Bring Your Own Device » représente encore un nouveau territoire juridique en Belgique, l’employeur crée ainsi la base juridique nécessaire sur laquelle tous les participants peuvent s’orienter.

Une politique de « Bring Your Own Device » s’impose partout où il existe des postes de travail numériques dont la portée fonctionnelle peut aussi être couverte par des appareils privés.

Applications du BYOD

Bring_Your_Own_Device

 

 BYOD et l’entreprise

Pour les employés, l’introduction d’un principe du BYOD signifie avant tout une chose : un plus grand confort dans la vie professionnelle au quotidien. Au lieu de travailler avec du matériel d’entreprise parfois lent et rarement mis à jour, ils peuvent utiliser aussi leurs propres appareils, qui sont souvent à la pointe au niveau technologique et ergonomique. En voyage d’affaires, c’est aussi un soulagement de ne pas avoir à emporter un deuxième appareil en plus de votre ordinateur portable privé. L’initiative de la mise en place du BYOD au sein de l’entreprise vient donc principalement des employés, en particulier les plus jeunes qui ont grandi avec des appareils mobiles.

C’est pourquoi les employeurs qui sont ouverts au « Bring Your Own Device » disposent d’un atout incitatif précieux qui peut les aider à trouver des candidats. En effet, l’entreprise démontre qu’elle se soucie du confort et de la satisfaction des employés. Les entreprises pionnières en BYOD comme IBM misent également sur une productivité accrue lorsque les employés travaillent avec les appareils qu’ils connaissent le mieux. En outre, l’intégration des terminaux privés dans la vie professionnelle quotidienne constitue une condition préalable idéale pour le travail à domicile et le travail flexible. Les avantages économiques et écologiques méritent également d’être soulignés : les employeurs réalisent des économies sur l’achat de nouveaux équipements de bureau et réduisent ainsi leur impact négatif sur l’environnement.

D’autre part, il y a cependant des coûts élevés de mise en œuvre et de maintenance. Le BYOD peut entraîner une plus grande complexité dans le processus opérationnel et s’oppose donc à la stratégie généralisée de standardisation de l’infrastructure informatique dans les organisations. Une praticabilité dépend donc de la coopération intensive des employés. C’est la seule façon de maîtriser les différents défis techniques et organisationnels qui l’accompagnent.

Enfin, le principe du BYOD peut aussi avoir des inconvénients pour les employés : après avoir mis en place tous les services nécessaires sur le PC domestique, ils doivent parfois accepter que l’entreprise ait un certain contrôle sur l’appareil pour assurer la sécurité des données professionnelles et du réseau interne. En outre, l’utilisateur doit parfois contribuer aux coûts encourus. Un autre problème est l’altération potentielle de l’équilibre entre vie professionnelle et vie privée : si vous avez un accès continu à des applications de bureau telles que les boîtes aux lettres électroniques depuis votre domicile, vous risquez davantage d’être obligé d’être constamment joignable : les obligations professionnelles et la vie privée sont de plus en plus étroitement liées. Inversement, la question est de savoir s’il est plus facile d’être distrait lorsqu’on travaille sur un ordinateur portable privé que sur un ordinateur d’entreprise. 

Bien que le BYOD présente des avantages évidents aussi bien pour les enseignants et élèves que pour les employeurs et employés, il est cependant associé à certains risques de sécurité et une complexité au niveau juridique.

Les risques du BYOD

BYOD et protection des données

Que ce soit au sein de l’entreprise ou d’un autre type d’organisation, le « Bring Your Own Device » représente toujours un risque de sécurité qu’il ne faut pas sous-estimer. Pour comprendre à quel point la question de la protection des données est dans ce contexte sensible, imaginez simplement les scénarios suivants :

  • Scénario 1 : les données sensibles des clients, des employés et de l’entreprise sont stockées et traitées sur un dispositif externe qui ne peut pas être contrôlé ou ne peut l‘être que partiellement. Puisqu’il s’agit de matériel et de logiciels utilisés principalement à des fins personnelles, le propriétaire peut avoir installé des mécanismes de sécurité plus faibles que ce qui serait courant dans un environnement informatique d’entreprise. Il peut aussi être moins vigilant avec les spams et les faux liens, ce qui peut augmenter le risque d’hameçonnage : le Phishing. Il est également concevable que l’appareil puisse être volé ou perdu, ce qui est évidemment une catastrophe pour la sécurité.
  • Scénario 2 : d’autre part, un terminal privé représente aussi un risque de sécurité pour le réseau interne de l’entreprise. S’il se connecte via une connexion non cryptée ou s’il est déjà contaminé par un logiciel malveillant, il peut perturber l’infrastructure informatique ou même (involontairement) espionner des bases de données secrètes.

La protection des données, en particuliers les données à caractère personnel et cela conformément au RGPDdoit aussi être assurée sur les appareils privés. Et c’est l’entreprise, et non l’employé, qui en assume l’entière responsabilité. Cela pose des défis législatifs, techniques et administratifs majeurs tant pour la gestion que pour l’informatique, en particulier lorsqu’un grand nombre d’appareils différents avec des systèmes d’exploitation et des programmes différents doivent être intégrés au sein du même réseau.

Dans ces circonstances, il est légitime que le chef d’entreprise ait un certain pouvoir de contrôle sur l’équipement. Il s’agit notamment de contrôler la mise en œuvre des mesures de protection des données nécessaires, d’assurer une séparation stricte entre les données professionnelles et les données privées et, en cas de doute, d’effacer ou de restaurer les données à distance. Dans le même temps, ces efforts doivent cependant se concilier avec le droit de l’utilisateur à l’autodétermination informationnelle en vertu du RGPD, une question complexe et en même temps conflictuelle, où chaque petit détail doit être examiné.

Il est donc essentiel de répondre clairement à toutes les questions pertinentes, par exemple : « Est-ce qu’un membre de la famille de l’employé peut utiliser l’appareil ? » et « Qu’advient-il des données de l’entreprise si l’employé démissionne »? La levée de ces ambiguïtés initiales peut représenter pour l’entreprise un effort supplémentaire qu’il ne faut pas sous-estimer. La politique finale du BYOD doit ensuite être communiquée de manière ouverte et transparente au personnel afin de réduire le risque de fuites de données et d’infractions aux lois sur la protection des données. Cependant, il subsiste toujours un certain risque résiduel, car l’employeur renonce aussi à une partie de son contrôle en faisant confiance à ses employés.

Sur le plan technique, les services informatiques chargés de la mise en œuvre d’un concept BYOD utilisent des approchent différentes :

  • Obstacles classiques à l’accès : cela inclut les connexions cryptées via VPN et des services contre l’accès non autorisé comme l’identification ç deux facteurs.
  • Solutions de conteneurs : pour assurer la sécurité des données sensibles sur les terminaux privés, de nombreuses entreprises utilisent des « conteneurs » cryptés. Ce sont des partitions isolées et restreintes sur l’espace du disque dur local où les données sont stockées et à partir duquel la connexion au réseau de l’entreprise est établie.
  • Mobile Device Management : les logiciels MDM tels que AirWatch et MobileIron sont utilisés pour l’intégration et l’administration centrale des appareils privés dans les entreprises. Les interfaces utilisateur professionnelles sont utilisées pour gérer les données, installer les mises à jour et configurer les verrous pour les connexions WLAN non sécurisées et les applications de fournisseurs tiers inconnus. Cependant, comme les salariés doivent passer d’un poste de travail à l’autre pour un usage privé ou professionnel, la gestion des appareils mobiles se fait au détriment de l’expérience utilisateur. Le renforcement du contrôle exercé par l’employeur a également des répercussions négatives sur la protection de la vie privée.
  • Solutions de Sandbox : une alternative fréquemment utilisée aux solutions mentionnées ci-dessus est le Virtual desktop infrastructure ainsi que les applications Web, qui permettent l’accès à distance de l’appareil privé à l’ordinateur de l’entreprise et ne stockent donc pas de données sensibles sur des appareils externes. Il s’agit notamment des services Cloud et des plateformes de collaboration en ligne.