Ayant constaté la multiplication des usages de matériels personnels dans un cadre professionnel en Grande-Bretagne, l’Information Commissioner’s Office (ICO), l’Autorité de protection des données personnelles anglaise (équivalent de la CNIL en France), a récemment publié sur son site Internet www.ico.uk un guide intitulé « Bring your own Device (BYOD) » (ci-après le « Guide »), mettant en exergue les risques liés à la pratique et les précautions à prendre lorsque l’usage de matériels personnels est autorisé dans un cadre professionnel. Les enseignements de ce Guide peuvent être aisément transposés en France. Le Guide souligne que le phénomène du BYOD se répand rapidement. Dans nombre d’entreprises, les salariés ou dirigeants souhaitent pouvoir utiliser, dans le cadre de l’exécution de leurs missions professionnelles, leurs propres outils électroniques (smartphones, tablettes ou ordinateurs portables). Ces outils peuvent ainsi être connectés au système d’information de l’entreprise. Or, ces connexions soulèvent des interrogations au regard de la protection des données à caractère personnel détenues par l’entreprise. En effet, des données dont l’entreprise est responsable peuvent alors faire l’objet de traitements au moyen de ces outils « personnels », qui ne sont pas sous le contrôle de l’entreprise. La question est donc posée de la conformité de tels traitements aux principes de protection des données personnelles et des précautions à prendre en vue d’assurer la sécurité des données personnelles dans ce cadre.
Le Guide rappelle en premier lieu un principe fondamental : le responsable de traitement doit en toutes circonstances garder le contrôle des données personnelles qu’il a collectées, quand bien même il ne serait pas propriétaire du matériel sur lesquelles ces données sont traitées.En d’autres termes, une entreprise responsable de traitement ne saurait s’exonérer de ses responsabilités en cas d’atteinte aux données (perte, divulgation, altération ou accès non autorisé) en arguant du fait que le matériel utilisé n’est pas sous son contrôle. Il lui incombe, avant d’autoriser la connexion d’un matériel personnel à son système d’information, d’établir un état des risques encourus, en fonction notamment de la nature des données auxquelles il sera donné accès,de la sécurité du matériel utilisé et du contrôle qu’elle pourra exercer tout au long de la durée d’accès (y compris dans l’hypothèse dans laquelle le salarié quitterait l’entreprise).
En substance, il résulte des analyses menées par ICO que l’usage d’un matériel personnel ne peut être autorisé qu’après réalisation d’un audit des risques et avantages pratiques (qui diffèrent selon chaque entreprise) et adhésion du propriétaire du matériel à une « politique BYOD » établissant clairement les droits et obligations dudit propriétaire. Le Guide souligne qu’il est crucial que le responsable de traitement s’assure que les données personnelles qu’il détient restent sous son contrôle. En cas d’atteinte aux données, il lui incombera d’établir qu’il a mis en place les moyens nécessaires au contrôle et à la suppression des données sur chaque matériel autorisé à se connecter au système.
Les cookies de réseaux sociaux collectent des données sur les informations que vous partagez à partir de notre site Internet par l’intermédiaire des outils des réseaux sociaux ou des données analytiques afin de comprendre votre parcours de navigation entre les outils des réseaux sociaux ou nos campagnes sur ceux-ci ou nos propres sites Internet. Nous les utilisons pour optimiser les différents canaux de communication afin de vous proposer notre contenu. Des informations détaillées concernant les outils que nous utilisons sont disponibles dans notre Politique de confidentialité.