Bring Your Own Device (BYOD) : nouvelle tendance avec des limites

Dans le monde digital actuel, la vie pro­fes­sion­nelle et la vie privée ont tendance à être de plus en plus mêlées. Et cela se confirme avec la nouveauté venant d’outre-At­lan­tique du BYOD, « Bring your Own Device », qui est clai­re­ment de plus en plus visible ces dernières années. En effet, de nombreux employés utilisent déjà leurs propres portables, tablettes et smart­phones pour leur travail. Ceci est évi­dem­ment plus con­for­table et permet d’augmenter la pro­duc­ti­vité. Mais dans le même temps, le BYOD est un véritable problème pour les dé­fen­seurs du respect des données per­son­nels et les juristes, ce qui explique pourquoi ce principe ne s’est pas encore réel­le­ment imposé en France.

« Bring Your Own Device », que l’on peut traduire sim­ple­ment par « apportez votre appareil personnel » est of­fi­ciel­le­ment nommé en français par l’abré­via­tion AVEC pour « Apportez votre équi­pe­ment personnel de com­mu­ni­ca­tion ». En bref, cela signifie qu’au lieu de tra­vail­ler avec l’or­di­na­teur de la société au bureau, vous utilisez vos appareils mobiles privés (par exemple un or­di­na­teur portable, une tablette ou un smart­phone) dans un cadre pro­fes­sion­nel.

Le concept du BYOD n’est pas uni­que­ment utilisé dans un contexte pro­fes­sion­nel, mais aussi au niveau des uni­ver­si­tés, bi­blio­thèques, écoles et autres ins­ti­tu­tions (es­sen­tiel­le­ment édu­ca­tives). Ici aussi, il s’agit de se déplacer dans le réseau interne de l’ins­ti­tu­tion concernée avec les terminaux mobiles que vous avez apportés vous-même, et cela au lieu d’utiliser la gamme de matériel existante. La mise en œuvre d'un tel concept BYOD nécessite toutefois une ligne di­rec­trice claire (BYOD policy). Elle définit ainsi la manière dont les uti­li­sa­teurs peuvent utiliser leurs propres appareils élec­tro­niques sur le réseau, les exigences de sécurité exis­tantes et les règles de conduite à respecter.

Dans une en­tre­prise, une telle ligne di­rec­trice est gé­né­ra­le­ment élaborée en col­la­bo­ra­tion avec les salariés ou le comité d’en­tre­prise et fixée dans un accord com­plé­men­taire di­rec­te­ment dans le contrat de travail. Ceci est également né­ces­saire, car le BYOD est associé à de nom­breuses questions complexes qui né­ces­si­tent une cla­ri­fi­ca­tion précise, telles que le contrôle et les droits d’accès, la vie privée des employés et la pro­tec­tion des données dans l’en­tre­prise. Comme le « Bring Your Own Device » re­pré­sente encore un nouveau ter­ri­toire juridique en France, l'em­ployeur crée ainsi la base juridique né­ces­saire sur laquelle tous les par­ti­ci­pants peuvent s’orienter.

Une politique de « Bring Your Own Device » s’impose partout où il existe des postes de travail nu­mé­riques dont la portée fonc­tion­nelle peut aussi être couverte par des appareils privés. Jusqu’à présent, le BYOD a surtout été utilisé dans le secteur de l’éducation et au sein des en­tre­prises.

Dans la plupart des uni­ver­si­tés, il est courant depuis longtemps que les étudiants apportent leur or­di­na­teur portable sur le campus pour prendre les cours, préparer des pré­sen­ta­tions et tra­vail­ler pendant les heures libres à la bi­blio­thèque. Enfin, de plus en plus d’écoles intègrent aussi comme support aux pro­grammes scolaires des or­di­na­teurs ou des smart­phones. Cependant, lorsqu’on leur demande quels sont les bénéfices éducatifs réels du BYOD, les avantages et les in­con­vé­nients sont équi­li­brés.

De nom­breuses études indiquent que les élèves qui utilisent le moins les médias nu­mé­riques ob­tien­nent les meilleurs résultats aux examens. Le contre-argument souvent invoqué à ce point de vue est que les appareils élec­tro­niques en classe ne devraient pas servir en premier lieu à améliorer les résultats des examens, mais surtout à trans­mettre des com­pé­tences in­for­ma­tiques pour la vie quo­ti­dienne numérisée et le monde du travail moderne. Utilisés ju­di­cieu­se­ment, selon les partisans du BYOD, les smart­phones privés peuvent s’inscrire dans une mission éducative moderne en France. Il peut en effet être un vrai projet d’éta­blis­se­ment et peut aussi aider gran­de­ment les pro­fes­seurs.

Ainsi, il existe à la dis­po­si­tion des en­seig­nants un guide des projets pé­da­go­giques avec le BYOD qui résume et apporte plusieurs approches de projets BYOD. Cependant la loi de 2018 qui encadre l’usage de tout objet connecté à l’école et qui interdit les portables dans les écoles et collèges montre que le débat reste complexe et que la société française est parfois encore frileuse au sujet de l’in­té­gra­tion du BYOD et que certaines autorités ne montrent pas beaucoup d’en­thou­siasme face au concept du « Bring Your Own Device ».

Pour les employés, l’in­tro­duc­tion d’un principe du BYOD signifie avant tout une chose : un plus grand confort dans la vie pro­fes­sion­nelle au quotidien. Au lieu de tra­vail­ler avec du matériel d’en­tre­prise parfois lent et rarement mis à jour, ils peuvent utiliser aussi leurs propres appareils, qui sont souvent à la pointe au niveau tech­no­lo­gique et er­go­no­mique. En voyage d’affaires, c'est aussi un sou­la­ge­ment de ne pas avoir à emporter un deuxième appareil en plus de votre or­di­na­teur portable privé. L’ini­tia­tive de la mise en place du BYOD au sein de l’en­tre­prise vient donc prin­ci­pa­le­ment des employés, en par­ti­cu­lier les plus jeunes qui ont grandi avec des appareils mobiles.

C’est pourquoi les em­ployeurs qui sont ouverts au « Bring Your Own Device » disposent d'un atout incitatif précieux qui peut les aider à trouver des candidats. En effet, l’en­tre­prise démontre qu’elle se soucie du confort et de la sa­tis­fac­tion des employés. Les en­tre­prises pion­nières en BYOD comme IBM misent également sur une pro­duc­ti­vité accrue lorsque les employés tra­vail­lent avec les appareils qu'ils con­nais­sent le mieux. En outre, l’in­té­gra­tion des terminaux privés dans la vie pro­fes­sion­nelle quo­ti­dienne constitue une condition préalable idéale pour le travail à domicile et le travail flexible. Les avantages éco­no­miques et éco­lo­giques méritent également d’être soulignés : les em­ployeurs réalisent des économies sur l’achat de nouveaux équi­pe­ments de bureau et réduisent ainsi leur impact négatif sur l’en­vi­ron­ne­ment.

D’autre part, il y a cependant des coûts élevés de mise en œuvre et de main­te­nance. Le BYOD peut entraîner une plus grande com­plexité dans le processus opé­ra­tion­nel et s’oppose donc à la stratégie gé­né­ra­li­sée de stan­dar­di­sa­tion de l’in­fras­truc­ture in­for­ma­tique dans les or­ga­ni­sa­tions. Une pra­ti­ca­bi­lité dépend donc de la coo­pé­ra­tion intensive des employés. C’est la seule façon de maîtriser les dif­fé­rents défis tech­niques et or­ga­ni­sa­tion­nels qui l’ac­com­pag­nent.

Enfin, le principe du BYOD peut aussi avoir des in­con­vé­nients pour les employés : après avoir mis en place tous les services né­ces­saires sur le PC do­mes­tique, ils doivent parfois accepter que l’en­tre­prise ait un certain contrôle sur l’appareil pour assurer la sécurité des données pro­fes­sion­nelles et du réseau interne. En outre, l’uti­li­sa­teur doit parfois con­tri­buer aux coûts encourus. Un autre problème est l’al­té­ra­tion po­ten­tielle de l’équilibre entre vie pro­fes­sion­nelle et vie privée : si vous avez un accès continu à des ap­pli­ca­tions de bureau telles que les boîtes aux lettres élec­tro­niques depuis votre domicile, vous risquez davantage d'être obligé d’être cons­tam­ment joignable : les obli­ga­tions pro­fes­sion­nelles et la vie privée sont de plus en plus étroi­te­ment liées. In­ver­se­ment, la question est de savoir s’il est plus facile d’être distrait lorsqu’on travaille sur un or­di­na­teur portable privé que sur un or­di­na­teur d’en­tre­prise.

Bien que le BYOD présente des avantages évidents aussi bien pour les en­seig­nants et élèves que pour les em­ployeurs et employés, il est cependant associé à certains risques de sécurité et une com­plexité au niveau juridique.

Que ce soit au sein de l’en­tre­prise ou d’un autre type d’or­ga­ni­sa­tion, le « Bring Your Own Device » re­pré­sente toujours un risque de sécurité qu’il ne faut pas sous-estimer. Pour com­prendre à quel point la question de la pro­tec­tion des données est dans ce contexte sensible, imaginez sim­ple­ment les scénarios suivants :

• Scénario 1 : les données sensibles des clients, des employés et de l’en­tre­prise sont stockées et traitées sur un dis­po­si­tif externe qui ne peut pas être contrôlé ou ne peut l‘être que par­tiel­le­ment. Puisqu’il s’agit de matériel et de logiciels utilisés prin­ci­pa­le­ment à des fins per­son­nelles, le pro­prié­taire peut avoir installé des mé­ca­nismes de sécurité plus faibles que ce qui serait courant dans un en­vi­ron­ne­ment in­for­ma­tique d’en­tre­prise. Il peut aussi être moins vigilant avec les spams et les faux liens, ce qui peut augmenter le risque d’ha­me­çon­nage : le Phishing. Il est également con­ce­vable que l’appareil puisse être volé ou perdu, ce qui est évi­dem­ment une ca­tas­trophe pour la sécurité.
• Scénario 2 : d’autre part, un terminal privé re­pré­sente aussi un risque de sécurité pour le réseau interne de l’en­tre­prise. S’il se connecte via une connexion non chiffrée ou s’il est déjà contaminé par un logiciel mal­veil­lant, il peut perturber l’in­fras­truc­ture in­for­ma­tique ou même (in­vo­lon­tai­re­ment) espionner des bases de données secrètes.

La pro­tec­tion des données, en par­ti­cu­liers les données à caractère personnel et cela con­for­mé­ment au RGPD doit aussi être assurée sur les appareils privés. Et c’est l’en­tre­prise, et non l’employé, qui en assume l’entière res­pon­sa­bi­lité. Cela pose des défis lé­gis­la­tifs, tech­niques et ad­mi­nis­tra­tifs majeurs tant pour la gestion que pour l’in­for­ma­tique, en par­ti­cu­lier lorsqu’un grand nombre d’appareils dif­fé­rents avec des systèmes d’ex­ploi­ta­tion et des pro­grammes dif­fé­rents doivent être intégrés au sein du même réseau.

Dans ces cir­cons­tances, il est légitime que le chef d’en­tre­prise ait un certain pouvoir de contrôle sur l’équi­pe­ment. Il s’agit notamment de contrôler la mise en œuvre des mesures de pro­tec­tion des données né­ces­saires, d’assurer une sé­pa­ra­tion stricte entre les données pro­fes­sion­nelles et les données privées et, en cas de doute, d’effacer ou de restaurer les données à distance. Dans le même temps, ces efforts doivent cependant se concilier avec le droit de l’uti­li­sa­teur à l’au­to­dé­ter­mi­na­tion in­for­ma­tion­nelle en vertu du RGPD, une question complexe et en même temps con­flic­tuelle, où chaque petit détail doit être examiné.

Il est donc essentiel de répondre clai­re­ment à toutes les questions per­ti­nentes, par exemple : « Est-ce qu’un membre de la famille de l’employé peut utiliser l’appareil ? » et « Qu’advient-il des données de l’en­tre­prise si l’employé dé­mis­sionne »? La levée de ces am­bi­guï­tés initiales peut re­pré­sen­ter pour l’en­tre­prise un effort sup­plé­men­taire qu’il ne faut pas sous-estimer. La politique finale du BYOD doit ensuite être com­mu­ni­quée de manière ouverte et trans­pa­rente au personnel afin de réduire le risque de fuites de données et d’in­frac­tions aux lois sur la pro­tec­tion des données. Cependant, il subsiste toujours un certain risque résiduel, car l’employeur renonce aussi à une partie de son contrôle en faisant confiance à ses employés.

Sur le plan technique, les services in­for­ma­tiques chargés de la mise en œuvre d’un concept BYOD utilisent des ap­prochent dif­fé­rentes :

• Obstacles clas­siques à l’accès : cela inclut les con­nexions chiffrées via VPN et des services contre l’accès non autorisé comme l’iden­ti­fi­ca­tion à deux facteurs.

• Solutions de con­te­neurs : pour assurer la sécurité des données sensibles sur les terminaux privés, de nom­breuses en­tre­prises utilisent des « con­te­neurs » chiffrés. Ce sont des par­ti­tions isolées et res­treintes sur l’espace du disque dur local où les données sont stockées et à partir duquel la connexion au réseau de l’en­tre­prise est établie.
• Mobile Device Ma­na­ge­ment : les logiciels MDM tels que AirWatch et Mo­bi­leI­ron sont utilisés pour l’in­té­gra­tion et l’ad­mi­nis­tra­tion centrale des appareils privés dans les en­tre­prises. Les in­ter­faces uti­li­sa­teur pro­fes­sion­nelles sont utilisées pour gérer les données, installer les mises à jour et con­fi­gu­rer les verrous pour les con­nexions WLAN non sé­cu­ri­sées et les ap­pli­ca­tions de four­nis­seurs tiers inconnus. Cependant, comme les salariés doivent passer d’un poste de travail à l’autre pour un usage privé ou pro­fes­sion­nel, la gestion des appareils mobiles se fait au détriment de l’ex­pé­rience uti­li­sa­teur. Le ren­for­ce­ment du contrôle exercé par l’employeur a également des ré­per­cus­sions négatives sur la pro­tec­tion de la vie privée.
• Solutions de Sandbox : une al­ter­na­tive fré­quem­ment utilisée aux solutions men­tion­nées ci-dessus est le Virtual desktop in­fras­truc­ture ainsi que les ap­pli­ca­tions Web, qui per­met­tent l’accès à distance de l’appareil privé à l’or­di­na­teur de l’en­tre­prise et ne stockent donc pas de données sensibles sur des appareils externes. Il s’agit notamment des services Cloud et des pla­te­formes de col­la­bo­ra­tion en ligne comme Microsoft Exchange.

Alors qu’il existe de nombreux pays, notamment asia­tiques, ou le fait de tra­vail­ler avec son propre or­di­na­teur portable au sein de la société est répandu au point même de devenir la norme, la France s’est jusqu’à présent montrée re­la­ti­ve­ment réticente vis-à-vis du BYOD. Comme nous l’avons vu, cela est dû, d’une part, à des préoc­cu­pa­tions de sécurité pour les en­tre­prises, mais aussi à des problèmes et des obstacles ju­ri­diques. En effet il peut se révéler être un vrai casse-tête juridique puisqu’il mélange la vie privée et la vie pro­fes­sion­nelle.  

Par exemple, d’im­por­tantes questions de res­pon­sa­bi­lité relatives au BYOD n’ont pas encore été cla­ri­fiées au niveau central. Que se passe-t-il si le serveur d’une en­tre­prise est endommagé par des logiciels mal­veil­lants entrés de l’extérieur ? Qui est res­pon­sable d'un or­di­na­teur portable privé s’il est détruit ou perdu ? Et qui paie pour le volume de données qui est consommé au travail ?

Un autre exemple de com­plexité juridique peut être trouvé dans le droit des licences : tout le monde n’est peut-être pas conscient qu’une licence privée Microsoft Office ne peut pas être utilisée pour le travail. Une simple pré­sen­ta­tion Po­wer­Point pour une réunion d’en­tre­prise peut donc être con­si­dé­rée comme une violation du droit de licence. L’obtention d'une licence d’ex­ploi­ta­tion pour chaque employé peut donc re­pré­sen­ter un élément de coût sup­plé­men­taire, qui est réalisé dans le cadre du « Bring Your Own Device ».

Nous l’avons évoqué plus haut, l’expansion du BYOD a aussi créé une levée de boucliers de la part de syndicats, as­so­cia­tions et juristes. En France, pour répondre aux in­quié­tudes de nombreux salariés et pour que la vie privée de ces derniers soit mieux respectée, le lé­gis­la­teur a introduit le « droit à la dé­con­nexion » dans le cadre de la loi Travail de janvier 2017. Ce droit vise à mieux concilier pour les salariés la vie per­son­nelle et la vie pro­fes­sion­nelle à l’ère du numérique et l’inscrit dans le code du travail : « Les modalités du plein exercice par le salarié de son droit à la dé­con­nexion et la mise en place par l'en­tre­prise de dis­po­si­tifs de ré­gu­la­tion de l'uti­li­sa­tion des outils nu­mé­riques, en vue d'assurer le respect des temps de repos et de congé ainsi que de la vie per­son­nelle et familiale ».

Sur la base des aspects éducatifs, éco­no­miques, sé­cu­ri­taires et ju­ri­diques du BYOD, il apparaît clai­re­ment que les avantages du principe sont con­tre­ba­lan­cés par autant d’in­con­vé­nients. Dans le tableau suivant, nous résumons les arguments pour et contre du « Bring Your Own Device » :

De toute évidence, le principe du BYOD offre de nombreux avantages tant pour les employés que pour les em­ployeurs. Néanmoins, il n'est pas encore largement accepté en France, ce qui s'ex­plique prin­ci­pa­le­ment par les dis­po­si­tions légales strictes (en matière de pro­tec­tion des données notamment) exis­tantes. De nom­breuses études indiquent que la majorité des en­tre­prises fran­çaises rejettent encore l’ins­tal­la­tion du BYOD.

Aux États-Unis, d’où le concept est ori­gi­naire, il y a déjà des signes d’un ren­ver­se­ment de tendance : selon un sondage du Computing Tech­no­logy Industry As­so­cia­tion CompTIA, l’uti­li­sa­tion des systèmes BYOD a clai­re­ment diminué ces dernières années. L’ère des appareils privés sur le lieu de travail semble presque dépassée et à la place, deux contre-concepts ont été établis et apportent aux em­ployeurs un meilleur contrôle sur leurs données :

• Choose Your Own Device (CYOD) : les employés peuvent choisir parmi une vaste gamme d’appareils financés par l’en­tre­prise et donc ap­par­te­nant de facto à la société. Toutefois l’uti­li­sa­tion à des fins privées doit être ex­pli­ci­te­ment accordée au sein d’une politique d’uti­li­sa­tion.
• Corporate Owned, Per­so­nally Enabled (COPE) : les employés sont ex­pres­sé­ment autorisés à utiliser un appareil de l’en­tre­prise à des fins privées. Cependant, puisqu’ils sont res­pon­sables de l’ins­tal­la­tion de base et du support de base de l’appareil, ce principe nécessite un certain niveau de com­pé­tence technique.

Reste à voir si la tendance du BYOD va continuer à diminuer outre-At­lan­tique, alors même qu’elle n’a pas encore plei­ne­ment pris pied.

Veuillez prendre con­nais­sance des mentions légales en vigueur sur cet article.