BYOD, cybersurveillance, charte électronique : l'interview de François Coupez, avocat associé

François Coupez est avocat associé au sein du Cabinet Caprioli & Associés, spécialisé en droit des technologies.

Sur ce thème, Comundi vous propose une formation en intra: Tout savoir sur la Sécurité des Systèmes d'Information.

Quels sont les risques liés au BYOD ?

Le BYOD, pour Bring Your Own Device, désigne la pratique de plus en plus courante (et parfois encouragée par l'employeur) consistant à apporter ses propres outils informatiques personnels (smartphones, tablettes, portables, etc.) et à les utiliser dans le cadre de ses activités professionnelles, entraînant par exemple une connexion au système d'information (SI) de l'employeur. Confronté à de telles demandes, le DSI peut penser que, s'il accepte et organise ces utilisations, il perdra tout contrôle sur le niveau de sécurité dont sont dotés ou pas ces instruments personnels. Il peut notamment craindre pour la confidentialité des informations de l'entreprise, alors que les fichiers ou les informations concernant les clients ou les salariés de l'entreprise doivent, par exemple, être tout particulièrement protégés.
En pratique, le BYOD n'implique pourtant pas nécessairement une renonciation du DSI à la sécurisation des postes se connectant au SI de l'entreprise. Une réflexion générale sur la protection de la sécurité des informations dans l'entreprise, et un encadrement des conditions de connexion aux SI (mise en place de procédures et de logiciels de sécurisation imposés aux utilisateurs souhaitant se connecter, etc.), établis en parallèle avec une charte d'utilisation des moyens de communication électroniques mise à jour, peuvent permettent de maintenir un niveau de sécurité et de contrôle suffisant permettant cette utilisation par les salariés.

Quelles sont les limites à respecter par l'employeur pour ne pas tomber dans la cyber surveillance illégale ?

Préalablement à leur mise en place, l'employeur doit faire une étude précise des informations que ses systèmes de sécurité (SIEM, etc.) vont lui permettre de collecter et d'exploiter concernant les accès et les utilisations de son SI. Sur le fond, il doit s'assurer que les données ne sont pas conservées plus que la durée qui peut être nécessaire au plan légal (1 an pour les logs de connexions à l'internet, etc.) ou encore que les contrôles sont bien dans un premier temps statistiques et anonymes. Les procédures d'intervention en cas d'alerte de sécurité ou d'abus d'utilisation de ses systèmes doivent être établies et respecter le cadre mis en place par la jurisprudence, concernant notamment les conditions d'accès aux contenus professionnels et aux contenus privés (en cas de risque ou évènement particulier ou si le salarié est présent ou s'il a été dûment appelé).
Sur la forme, préalablement à leur mise en place opérationnelle, il doit inscrire les règles dans le règlement intérieur de son entreprise, suivant les formes imposées par la modification de celui-ci (souvent en pratique dans une charte ad hoc annexée au règlement intérieur).
Parallèlement, il doit s'assurer de respecter les formalités CNIL obligatoire (suivant les cas, nouvelle déclaration, modification de la déclaration existante, saisie de son CIL, etc.).

Quels sont les éléments indispensables à intégrer à votre charte électronique ?

Une charte est un document qui, en pratique, représente souvent une dizaine de pages détaillant au minimum les règles relatives :
- à la sécurité du système d'information et à la confidentialité des informations traitées par celui-ci (clients, etc.), en relation avec les politiques de sécurité de l'information / des systèmes d'information et de confidentialité de l'entreprise
- aux règles posées quant aux sites et réseaux consultés, ou encore aux fonctionnalités du SI, utilisées à titre professionnel
- à l'encadrement, la limitation voire dans certains cas l'interdiction des usages à titre privé de l'internet (surf sur le web mais également réseaux sociaux, etc.), de la messagerie (quid des webmails ? De la messagerie instantanée ? etc.) ou encore des autres infrastructures et fonctionnalités du SI de l'employeur (stockage sur les serveurs partagés, etc.)
- au respect de la propriété intellectuelle (notamment pour permettre une conformité HADOPI)
- ou encore aux modalités de contrôle et aux sanctions possibles en cas de non-respect des dispositions de la charte.

Pour profiter de réponses complémentaires sur la sécurité des Systèmes d'Information, Comundi vous propose la formation suivante: Tout savoir sur la Sécurité des Systèmes d'Information.