"Bring Your Own Device", face au droit du travail

Alors que les auteurs s’accordaient encore récemment à dire que le Bring Your Own Device était un flou juridique, l’état du droit a changé avec l’introduction dans le code du travail d’une section intitulée "Télétravail".

Alors que les auteurs s’accordaient encore récemment à dire que le BYOD ("Bring Your Own Device", traduire "Apportez votre propre matériel") était un flou juridique, l’état du droit a changé avec l’introduction dans le code du travail d’une section intitulée "Télétravail". Ces dispositions semblent pouvoir s’appliquer utilement au BYOD, mais en partie seulement et à condition d’en avoir une lecture relativement extensive. Quoi qu’il en soit, les prescriptions faites jusqu’alors demeurent d’actualité tant que la jurisprudence ou même le législateur n’aura pas tranché la question définitivement.

L’acronyme désigne une pratique nouvelle qui consiste à utiliser son matériel personnel dans le cadre professionnel, c'est-à-dire pour son travail. Par matériel, il faut évidemment entendre les appareils électroniques, mais surtout les smartphones (les "téléphones intelligents", qui sont des téléphones mobiles permettant généralement de gérer des tâches d’organisation et d’aller sur Internet) et les ordinateurs personnels, qui sont les deux moyens de communication les plus fréquemment utilisés dans le monde de l’entreprise, et enfin les clés USB. Appréhendé de façon large, le BYOD peut aussi concerner le matériel de l’employé pour se connecter à Internet chez lui : le type de connexion utilisé et surtout sa sécurisation est autant d’éléments clés du BYOD.

Car l’un des problèmes majeurs fréquemment relevés par la doctrine, mais également par les auteurs en général, puisque le débat dépasse largement la sphère juridique, porte sur la sécurisation de l’échange des données. Les failles pour l’entreprise sont multiples lors du recours au BYOD mais ne sont pas insurmontables pour autant, pas plus, en tout cas, que dans le cadre d’un réseau classique.

D’ailleurs, il apparaît au travers de diverses études, comme l’une menée par CISCO ou une autre par Dell, que la France et ses entreprises sont particulièrement réticentes à recourir au BYOD. Nombre d’entre elles l’interdisent tout simplement, ce qui est tout à fait possible. Une part avoue également une incapacité technique à s’y adapter. Malgré ces considérations, les chiffres sont en augmentation d’année en année et, même si elle a un retard, la France évolue malgré tout vers une généralisation de la pratique et pas uniquement dans la sphère privée puisque la pratique se rencontre également dans la fonction publique, qu’elle soit territoriale, étatique ou hospitalière. Ce constat invite d’ailleurs à penser qu’une éventuelle législation à venir s’appliquera sans doute à la sphère publique en plus de celle privée, à l’image des dispositions pour le télétravail.

Face à l’absence de cadre juridique, les entreprises qui optent pour le BYOD s’adaptent pour le moment comme elles le peuvent afin de se prémunir des éventuels risques relatifs à la pratique. Sont en cause principalement les échanges de données qu’il convient de sécuriser, la question de la charge de cette mesure n’étant pas clairement tranchée, pas plus que celle de la responsabilité. De même, l’adaptabilité des matériels utilisés par les employés et les risques qu’ils représentent en termes de fuites d’informations ou d’introduction dans les réseaux des entreprises sont autant de difficultés que les entreprises doivent appréhender en amont d’un éventuel recours au BYOD.

Le droit du travail ne vient pas faciliter la tâche puisqu’il impose une séparation entre la vie privée et la vie professionnelle, il conviendra de revenir sur ce point. Malgré cette limitation, l’employeur doit s’assurer de la qualité des échanges d’information induits par le BYOD, pour le bon fonctionnement de la société. De même, la limitation du temps de travail doit pouvoir s’appliquer pleinement à l’employé mais son effectivité n’est-elle pas remise en question dans le cadre du BYOD alors que l’employeur ne peut pas contrôler ses employés de façon constante ?

Le BYOD se situe à la croisée des chemins entre plusieurs sources de droit et les sociétés doivent être en mesure de se prémunir des risques inhérents à la pratique en attendant qu’un cadre juridique soit déterminer par la jurisprudence ou le législateur.

La question se pose de savoir comment il est possible pour une entreprise et ses employés de recourir au BYOD tout en limitant la prise de risques et sans déséquilibrer les responsabilités en jeu.

La doctrine s’accorde aujourd’hui sur le point que des mesures internes doivent être prises pour encadrer le BYOD et pour éviter de contrevenir aux principes généraux du droit du travail qui s’appliquent évidemment ici aussi. Plusieurs ressources sont à la disposition des entreprises afin qu’elles se prémunissent contre les risques induits par le BYOD (I) et qui doivent permettre une pleine applicabilité de certains principes du droit du travail (II) récemment modifié par son appréhension du télétravail.

I - Les ressources à la disposition des entreprises face aux risques du BYOD

Si le BYOD représente des avantages importants pour les entreprises dans la gestion quotidienne de ses ressources aussi bien humaines que matérielles, il n’en reste pas moins qu’il convient d’y avoir recours avec diligence. Une simple autorisation des employés à y recourir serait une porte ouverte aux atteintes extérieures, nombreuses en termes de nouvelles technologies, mais son interdiction pure et simple n’est pas forcément la solution la plus adéquate sur le plan de la compétitivité. Le BYOD n’est donc pas sans risque et nécessite sa propre sécurisation (A) dont la mise en œuvre pratique relève du choix de l’entreprise (B).

A - Une sécurisation nécessaire de la pratique

Le BYOD peut apparaître dans la pratique sans que la société ne puisse intervenir en amont, notamment par l’usage des clés USB qui semble aujourd’hui banal, mais qui peut provoquer des problèmes au sein du réseau d’une entreprise. Être conscient des risques et de la nécessaire sécurisation de son réseau n’est pas superflu. La sécurisation doit viser à prévenir des intrusions externes, les échanges de données aussi bien personnelles que relatives à la société elle-même ou encore à prévenir la fuite de données confidentielles.

Le risque majeur réside sans doute dans l’intégrité des systèmes informatiques de l’entreprise. Le BYOD suppose que les appareils utilisés peuvent aussi bien se connecter au réseau de l’entreprise qu’à n’importe quel autre. Ils deviennent alors des vecteurs de choix pour des attaques extérieures s’ils ne sont pas correctement configurés et sécurisés. C’est d’ailleurs la raison pour laquelle nombre d’entreprises proscrivent l’utilisation de clés USB provenant de l’extérieur et dont l’origine peut être incertaine. Par ailleurs, la CNIL (la Commission nationale de l'informatique et des libertés) met à la disposition des employés et des entreprises des préconisations en termes de sécurisation des terminaux.

De l’intégrité des systèmes dépend également la préservation de la confidentialité des informations circulant sur le réseau de l’entreprise. Le fait que ces informations puissent sortir du réseau plus ou moins fermé de l’entreprise vers les terminaux privés des employés rend de fait le réseau plus poreux sans une protection nécessaire de cet échange de données. Il est également fréquemment recommandé de définir de façon stricte le périmètre de la confidentialité au sein de l’entreprise pour que les informations utilisées par l’employé sur son propre matériel ne dépassent pas cette limite. Le salarié engagera sa responsabilité si une telle fuite d’information surviendrait de son fait ou par sa négligence, mais n’exclut qu’elle soit atténuée si l’employeur n’a pas non plus pris les mesures nécessaires pour prévenir le risque.

Dans le même sens, la CNIL recommande également de veiller à sécuriser les échanges de données personnelles soumis à la loi informatique et liberté. En effet, l’usage de telles ressources par l’employé depuis son terminal personnel présente là encore le risque d’une fuite d’information. Dans un tel cas, malgré le préjudice subi par la société, sa responsabilité serait engagée pour ne pas avoir correctement protégé ces données. En conséquence, la Commission invite également à sensibiliser le personnel à la question et à l’applicabilité de la loi informatique et libertés du 6 janvier 1978.

Enfin, si l’entreprise endosse la responsabilité de la fourniture du matériel et de son contrôle, qu’en est-il lorsque les employés sont autorisés à utiliser le leur ? Plusieurs dispositions peuvent être prises par l’entreprise pour se prémunir des risques qui viennent d’être exposés et s’assurer une utilisation du BYOD optimale dont le risque reste géré.

B - Un choix réservé à l’entreprise

C’est en recourant à son pouvoir réglementaire que lui confère le droit du travail que l’employeur peut imposer aux salariés les usages qu’ils souhaitent voir s’appliquer au BYOD. Trois cas sont classiquement recommandés par la doctrine en la matière, mais quoi qu’il en soit, il est particulièrement important, dans l’intérêt de l’entreprise, de recourir à l’une de ces solutions. En dehors du cas où l’entreprise fournirait tous les matériels nécessaires à l’exécution de ses missions par le salarié, elle peut également soit décider l’interdiction pure et simple du BYOD, soit inclure dans les contrats de travail les stipulations nécessaires ou encore adapter sa charte informatique en fonction du BYOD.

L’interdiction stricte du BYOD est donc possible et peut prendre plusieurs formes. Elle peut tout d’abord être incluse dans le règlement intérieur ou dans la charte informatique, selon les conditions d’adoption imposées par le droit du travail et qui seront exposées ensuite. Elle peut également être stipulée dans les contrats de travail, mais ce qui pose le problème de la modification des contrats existants. En dehors des considérations pratiques qui vont être détaillées ensuite, l’interdiction du BYOD pose essentiellement le problème de la compétitivité. À moins de fournir des smartphones ou des ordinateurs portables personnels, les entreprises qui interdisent le BYOD s’exposent à la concurrence en prenant un retard de ce point de vue par rapport aux entreprises qui y aurait recours. Elles s’interdisent d’ailleurs par là même le recours au télétravail, à moins, encore une fois, de fournir elles-mêmes les terminaux portables nécessaires ou d’adapter la charte informatique en conséquence pour ce cas précis.

La voie de la négociation est également ouverte aux employeurs en incluant les règles relatives au BYOD au contrat de travail. La faculté est tout à fait possible, mais est soumise à une difficulté, qui serait d’ailleurs la même dans le cas de l’interdiction : les contrats de travail existants devraient alors être modifiés en conséquence. Une modification du contrat de travail ne peut toutefois pas intervenir sans l’accord du salarié ce qui obligerait l’employeur à renégocier individuellement tous les contrats de travail en cours.

La contrainte est de taille et la pratique fastidieuse face à la possibilité de faire application directe du pouvoir réglementaire par le biais de la charte informatique. En effet, les chartes informatiques des entreprises sont assimilées au règlement intérieur qui résulte du pouvoir de décision de l’employeur. En pratique, elle devra être annexée au règlement intérieur et répondra aux règles de validité de celui-ci et qui sont prévues par l’article L1321-4 du code du travail. Les représentants du personnel et le comité d’entreprise, lorsqu’il est constitué, doivent en être informés pour avis, ainsi que le CHSCT (le comité d'hygiène, de sécurité et des conditions de travail). Un exemplaire doit également être déposé au greffe du conseil des prud’hommes dont dépend l’entreprise et à l’inspection du travail qui est compétente pour rejeter des dispositions illégales.

Force est de constater que le BYOD n’échappe donc pas totalement au droit du travail. De fait, les règles qui viennent d’être exposées ne sont pas les seules à trouver à s’appliquer, le BYOD n’étant évidemment en rien une alternative malgré le vide juridique qui persiste dans le détail.

II - L’applicabilité des principes du droit du travail au BYOD

L’application du droit du travail ne constitue pas en soit une surprise, mais l’absence de texte se rapportant directement au BYOD pourrait être la tentation, si ce n’est d’y déroger, au moins d’en adapter quelque peu les dispositions. Une telle attitude serait évidemment tout à fait condamnable. Par ailleurs, les nouvelles dispositions du code du travail sur le télétravail trouvent à s’appliquer en partie aux salariés recourant au BYOD (A) dans la mesure où ceux-ci se retrouvent de fait à travailler hors des murs de l’entreprise. Le principe de séparation entre la vie privée et la vie professionnelle (B) prend d’ailleurs tout son sens dans le cas du BYOD et représente une protection fondamentale pour le salarié.

A - L’applicabilité partielle des dispositions sur le télétravail

La loi Warsmann du 22 mars 2012 inclut dans le code du travail une section intitulée "Télétravail" dont les trois articles, L1222-9 à L1222-11, comportent plusieurs dispositions importantes du point de vue du BYOD. Néanmoins, le BYOD n’est pas directement visé par ces dispositions et il faudra attendre que les juges se prononcent sur l’étendue de leur applicabilité.

Quoi qu’il en soit pour le moment, l’article L1222-9, étant rédigé dans des termes généraux, nous apprend deux choses importantes quant à son applicabilité au BYOD. D’une part vise-t-il "toute forme d'organisation du travail dans laquelle un travail qui aurait également pu être exécuté dans les locaux de l'employeur est effectué par un salarié hors de ces locaux de façon régulière et volontaire en utilisant les technologies de l'information et de la communication". A ce stade, rien ne s’oppose à ce qu’il s’applique au BYOD dans la mesure où celui-ci permet effectivement l’exécution de son travail par le salarié en dehors des locaux de l’entreprise.

D’autre part, le même article précise que cette "forme d’organisation du travail" se fait "dans le cadre d'un contrat de travail ou d'un avenant à celui-ci". Faut-il en déduire que le recours au BYOD, qui conduit forcément l’employé à pouvoir travailler hors les murs de l’entreprise, doit nécessairement être stipulé dans le contrat de travail ? La réponse devrait sans doute être négative puisque le BYOD n’est pas systématiquement une "forme d’organisation du travail" au sens du télétravail puisqu’il ne se fait pas forcément "de façon régulière", mais peut être tout à fait incident. En revanche, s’il se fait de façon régulière alors le contrat de travail devrait être modifié et cette modification devrait emporter le consentement du salarié.

De même, si le BYOD se fait de façon régulière, il emporte alors des conséquences pour l’employeur, en plus de l’inscription au contrat de travail. L’article L1222-10 du code du travail prévoit ces obligations et notamment celle, qui n’est pas sans conséquence, "de prendre en charge tous les coûts découlant directement de l'exercice du télétravail, notamment le coût des matériels, logiciels, abonnements, communications et outils ainsi que de la maintenance de ceux-ci". Les articles relatifs au télétravail ne prévoient absolument pas la fourniture du matériel nécessaire à l’exécution des missions confiées au salarié, mais seulement la prise en charge des coûts découlant du télétravail et donc du BYOD qui serait régulier. À n'en pas douter, ces dispositions du code constitueront des avantages substantiels pour les employés recourant habituellement au BYOD.

Ce sont d’ailleurs autant d’incitations à recourir à la charte informatique pour réglementer le BYOD mais également pour le limiter. Des limites s’appliquent aussi en matière de temps de travail et de respect de la vie privée.

B - Le principe de séparation entre la vie privée et la vie professionnelle

Ce principe se retrouve de façon récurrente dans les dispositions du droit du travail et impose un respect, de la part de l’employeur, de la vie privée en interdisant les atteintes à celle-ci. Il s’exprime également à travers la limitation du temps de travail qui impose une limite maximum à ne pas dépasser, mais également à contrôler celui-ci.

Les atteintes à la vie privée que peut provoquer le BYOD sont surtout relatives au contrôle du matériel utilisé par l’employé. Il est constant qu’un employeur puisse contrôler l’ordinateur d’un employé lorsqu’il est fourni par l’entreprise et à condition de se limiter à ce qui est strictement professionnel. Comment contrôler, à l’inverse, un ordinateur utilisé par l’employé dans le cadre de son activité professionnelle, mais dont il serait propriétaire ? Dans un arrêt rendu le 23 mai 2012, la chambre sociale de la Cour de cassation a décidé qu’un employeur ne pouvait contrôler le dictaphone personnel d’une salariée en son absence ou sans l’avoir dûment appelée. La décision implique donc que l’employeur peut accéder aux informations contenues dans terminal personnel de l’employé du moment que celui-ci est présent ou qu’il a été dûment appelé.

L’arrêt ouvre de larges possibilités de contrôle pour l’employeur et il n’était pas certain qu’une telle faculté soit confirmée par la suite. Mais la chambre sociale reste sur sa position notamment dans un arrêt du 12 février 2013 où elle a jugé qu’un employeur ne pouvait contrôler le contenu d’une clé USB personnelle que si elle était connectée à l’ordinateur professionnel et en application des mêmes conditions que dans l’espèce précédente. Il en résulte, une fois encore, l’intérêt de construire une charte informatique précise qui permettrait de se prémunir des problèmes posés par les contrôles. L’identification non équivoque des fichiers personnels et professionnels dans un ordinateur semble par exemple un minimum. La question est plus difficile pour les smartphones qui ne permettent pas une partition aussi précise qu’un ordinateur entre les ressources personnelles et professionnelles.

Le dernier risque du BYOD qu’il convient, pour l’employeur, de prévenir est relatif au temps de travail. Le recours au BYOD ne doit pas revenir à empiéter de façon démesurée sur la vie privée de l’employé. De même, il ne doit pas non plus avoir pour conséquence, d’un point de vue quantitatif, de le surcharger en travail. Le BYOD peut avoir pour conséquence d’accélérer les échanges et l’avancement des missions en général, mais ce ne peut être au détriment du respect de la vie privée de l’employé.