Bring Your Own Device (BYOD) : comment gérer les risques BYOD : les 4 défis RH et juridiques
Au-delà des risques techniques, "il ne faut pas négliger les risques RH et juridiques du Bring Your Own Device, et ceux touchant à l'organisation IT et plus largement de l'entreprise", martèle Chadi Hantouche chez Solucom.
1 - Les questions RH
Première problématique non-technique soulignée par le consultant : le risque de voir apparaître des équipes à deux vitesses, avec certains éléments plus enclins à utiliser leurs terminaux personnels pour le travail que d'autres.
"Cette hyper connectivité va avoir des conséquences au-delà de la sphère du travail, à la fois sur le stress et la santé", ajoute l'avocate Garance Mathias. "On observe déjà dans les structures représentantes du personnel, notamment les CHSCT, la création de commissions de travail sur le BYOD.
En ligne de mire : le stress, mais aussi la discrimination. "Pourquoi en effet autoriser par exemple une équipe IT à utiliser son propre matériel et, dans le même temps, refuser à une équipe RH d'en faire de même ? Ce qui peut être perçu comme une discrimination", se demande Garance Mathias. Ces réflexions qui impliqueront aussi le comité du direction contribueront à préciser les contours des règles du jeu de ce nouveau canal informatique.
Autre défi à relever : encadrer la durée du travail qui pourrait être amenée à s'étendre du fait de l'utilisation de terminaux personnels nomades, utilisables y compris depuis le domicile du salariés, pour accéder à certaines applications du système d'information. "L'entreprise doit respecter la durée légale du temps de travail", rappelle Garance Mathias. Cette problématique amène déjà certaines DSI à bloquer les accès aux applications mobiles en dehors des horaires officiels de travail.
2 - Les questions juridiques liées à la responsabilité du salarié et de l'entreprise
Mais que dit le droit du travail ? "En contrepartie de l'accomplissement par le salarié de la mission spécifiée dans son contrat, l'employeur doit lui fournir tous les moyens d'accomplir cette mission", détaille Garance Mathias, avant de se demander : "n'est-ce pas alors une faille juridique quand c'est l'employé qui vient sur son lieu de travail avec son propre matériel ?" De plus, l'employeur est responsable des dommages commis à l'égard de tiers, accident, vol, perte de données (...), commis par son salariés dans le cadre de sa mission, y compris lorsque le salarié a commis ce dommages en utilisant son bien propre matériel. "Pour peu que le terminal soit utilisé dans le cadre du travail avec l'accord de l'employeur", compète l'avocate.
3 - Les questions juridiques liées aux données privées
Autres questions : jusqu'où l'entreprise peut-elle utiliser le terminal personnel du salariés ? En cas de perte ou de vol peut-elle intervenir pour effacer les données à distance ? Comment différencier données personnelles et professionnelles (une question qui rejoint la problématique du secret des correspondances, qui fait déjà l'objet d'une jurisprudence) ? Pour l'avocate, toutes ces interrogations doivent s'inscrire dans des réflexions impliquant le comité de direction, mais aussi les représentants du personnels (DP, CE). Se posent également la question de la contrepartie : l'éventuelle somme que l'entreprise pourrait verser aux salariés contre l'utilisation de son terminal personnel pour travailler. "On rejoindrait alors une pratique équivalente à celle d'une voiture de fonction", note l'avocate.
4 - Le défi d'une charte informatique de qualité
Toutes ces questions, réflexions doivent au final amener l'entreprise à compléter sa charte informatique. Un document qui devra encadrer l'ensemble des moyens et usages liés au BYOD (en matière de règles de sécurité, de propriété intellectuelle, d'utilisation des réseaux sociaux...). "En conséquence, le contrat de travail des personnes nouvellement recrutées devra être aussi modifié, et le règlement intérieur complété", ajoute Garance Mathias.