Bring Your Own Device (BYOD) : nouvelle tendance avec des limites

Dans le monde digital actuel, la vie professionnelle et la vie privée ont tendance à être de plus en plus mêlées. Et cela se confirme avec la nouveauté venant d’outre-Atlantique du BYOD, « Bring your Own Device », qui est clairement de plus en plus visible ces dernières années. En effet, de nombreux employés utilisent déjà leurs propres portables, tablettes et smartphones pour leur travail. Ceci est évidemment plus confortable et permet d’augmenter la productivité. Mais dans le même temps, le BYOD est un véritable problème pour les défenseurs du respect des données personnels et les juristes, ce qui explique pourquoi ce principe ne s’est pas encore réellement imposé en France.

« Bring Your Own Device », que l’on peut traduire simplement par « apportez votre appareil personnel » est officiellement nommé en français par l’abréviation AVEC pour « Apportez votre équipement personnel de communication ». En bref, cela signifie qu’au lieu de travailler avec l’ordinateur de la société au bureau, vous utilisez vos appareils mobiles privés (par exemple un ordinateur portable, une tablette ou un smartphone) dans un cadre professionnel.

Le concept du BYOD n’est pas uniquement utilisé dans un contexte professionnel, mais aussi au niveau des universités, bibliothèques, écoles et autres institutions (essentiellement éducatives). Ici aussi, il s’agit de se déplacer dans le réseau interne de l’institution concernée avec les terminaux mobiles que vous avez apportés vous-même, et cela au lieu d’utiliser la gamme de matériel existante. La mise en œuvre d'un tel concept BYOD nécessite toutefois une ligne directrice claire (BYOD policy). Elle définit ainsi la manière dont les utilisateurs peuvent utiliser leurs propres appareils électroniques sur le réseau, les exigences de sécurité existantes et les règles de conduite à respecter.

Dans une entreprise, une telle ligne directrice est généralement élaborée en collaboration avec les salariés ou le comité d’entreprise et fixée dans un accord complémentaire directement dans le contrat de travail. Ceci est également nécessaire, car le BYOD est associé à de nombreuses questions complexes qui nécessitent une clarification précise, telles que le contrôle et les droits d’accès, la vie privée des employés et la protection des données dans l’entreprise. Comme le « Bring Your Own Device » représente encore un nouveau territoire juridique en France, l'employeur crée ainsi la base juridique nécessaire sur laquelle tous les participants peuvent s’orienter.

Une politique de « Bring Your Own Device » s’impose partout où il existe des postes de travail numériques dont la portée fonctionnelle peut aussi être couverte par des appareils privés. Jusqu’à présent, le BYOD a surtout été utilisé dans le secteur de l’éducation et au sein des entreprises.

Dans la plupart des universités, il est courant depuis longtemps que les étudiants apportent leur ordinateur portable sur le campus pour prendre les cours, préparer des présentations et travailler pendant les heures libres à la bibliothèque. Enfin, de plus en plus d’écoles intègrent aussi comme support aux programmes scolaires des ordinateurs ou des smartphones. Cependant, lorsqu’on leur demande quels sont les bénéfices éducatifs réels du BYOD, les avantages et les inconvénients sont équilibrés.

De nombreuses études indiquent que les élèves qui utilisent le moins les médias numériques obtiennent les meilleurs résultats aux examens. Le contre-argument souvent invoqué à ce point de vue est que les appareils électroniques en classe ne devraient pas servir en premier lieu à améliorer les résultats des examens, mais surtout à transmettre des compétences informatiques pour la vie quotidienne numérisée et le monde du travail moderne. Utilisés judicieusement, selon les partisans du BYOD, les smartphones privés peuvent s’inscrire dans une mission éducative moderne en France. Il peut en effet être un vrai projet d’établissement et peut aussi aider grandement les professeurs.

Ainsi, il existe à la disposition des enseignants un guide des projets pédagogiques avec le BYOD qui résume et apporte plusieurs approches de projets BYOD. Cependant la loi de 2018 qui encadre l’usage de tout objet connecté à l’école et qui interdit les portables dans les écoles et collèges montre que le débat reste complexe et que la société française est parfois encore frileuse au sujet de l’intégration du BYOD et que certaines autorités ne montrent pas beaucoup d’enthousiasme face au concept du « Bring Your Own Device ».

Pour les employés, l’introduction d’un principe du BYOD signifie avant tout une chose : un plus grand confort dans la vie professionnelle au quotidien. Au lieu de travailler avec du matériel d’entreprise parfois lent et rarement mis à jour, ils peuvent utiliser aussi leurs propres appareils, qui sont souvent à la pointe au niveau technologique et ergonomique. En voyage d’affaires, c'est aussi un soulagement de ne pas avoir à emporter un deuxième appareil en plus de votre ordinateur portable privé. L’initiative de la mise en place du BYOD au sein de l’entreprise vient donc principalement des employés, en particulier les plus jeunes qui ont grandi avec des appareils mobiles.

C’est pourquoi les employeurs qui sont ouverts au « Bring Your Own Device » disposent d'un atout incitatif précieux qui peut les aider à trouver des candidats. En effet, l’entreprise démontre qu’elle se soucie du confort et de la satisfaction des employés. Les entreprises pionnières en BYOD comme IBM misent également sur une productivité accrue lorsque les employés travaillent avec les appareils qu'ils connaissent le mieux. En outre, l’intégration des terminaux privés dans la vie professionnelle quotidienne constitue une condition préalable idéale pour le travail à domicile et le travail flexible. Les avantages économiques et écologiques méritent également d’être soulignés : les employeurs réalisent des économies sur l’achat de nouveaux équipements de bureau et réduisent ainsi leur impact négatif sur l’environnement.

D’autre part, il y a cependant des coûts élevés de mise en œuvre et de maintenance. Le BYOD peut entraîner une plus grande complexité dans le processus opérationnel et s’oppose donc à la stratégie généralisée de standardisation de l’infrastructure informatique dans les organisations. Une praticabilité dépend donc de la coopération intensive des employés. C’est la seule façon de maîtriser les différents défis techniques et organisationnels qui l’accompagnent.

Enfin, le principe du BYOD peut aussi avoir des inconvénients pour les employés : après avoir mis en place tous les services nécessaires sur le PC domestique, ils doivent parfois accepter que l’entreprise ait un certain contrôle sur l’appareil pour assurer la sécurité des données professionnelles et du réseau interne. En outre, l’utilisateur doit parfois contribuer aux coûts encourus. Un autre problème est l’altération potentielle de l’équilibre entre vie professionnelle et vie privée : si vous avez un accès continu à des applications de bureau telles que les boîtes aux lettres électroniques depuis votre domicile, vous risquez davantage d'être obligé d’être constamment joignable : les obligations professionnelles et la vie privée sont de plus en plus étroitement liées. Inversement, la question est de savoir s’il est plus facile d’être distrait lorsqu’on travaille sur un ordinateur portable privé que sur un ordinateur d’entreprise.

Bien que le BYOD présente des avantages évidents aussi bien pour les enseignants et élèves que pour les employeurs et employés, il est cependant associé à certains risques de sécurité et une complexité au niveau juridique.

Que ce soit au sein de l’entreprise ou d’un autre type d’organisation, le « Bring Your Own Device » représente toujours un risque de sécurité qu’il ne faut pas sous-estimer. Pour comprendre à quel point la question de la protection des données est dans ce contexte sensible, imaginez simplement les scénarios suivants :

• Scénario 1 : les données sensibles des clients, des employés et de l’entreprise sont stockées et traitées sur un dispositif externe qui ne peut pas être contrôlé ou ne peut l‘être que partiellement. Puisqu’il s’agit de matériel et de logiciels utilisés principalement à des fins personnelles, le propriétaire peut avoir installé des mécanismes de sécurité plus faibles que ce qui serait courant dans un environnement informatique d’entreprise. Il peut aussi être moins vigilant avec les spams et les faux liens, ce qui peut augmenter le risque d’hameçonnage : le Phishing. Il est également concevable que l’appareil puisse être volé ou perdu, ce qui est évidemment une catastrophe pour la sécurité.
• Scénario 2 : d’autre part, un terminal privé représente aussi un risque de sécurité pour le réseau interne de l’entreprise. S’il se connecte via une connexion non chiffrée ou s’il est déjà contaminé par un logiciel malveillant, il peut perturber l’infrastructure informatique ou même (involontairement) espionner des bases de données secrètes.

La protection des données, en particuliers les données à caractère personnel et cela conformément au RGPD doit aussi être assurée sur les appareils privés. Et c’est l’entreprise, et non l’employé, qui en assume l’entière responsabilité. Cela pose des défis législatifs, techniques et administratifs majeurs tant pour la gestion que pour l’informatique, en particulier lorsqu’un grand nombre d’appareils différents avec des systèmes d’exploitation et des programmes différents doivent être intégrés au sein du même réseau.

Dans ces circonstances, il est légitime que le chef d’entreprise ait un certain pouvoir de contrôle sur l’équipement. Il s’agit notamment de contrôler la mise en œuvre des mesures de protection des données nécessaires, d’assurer une séparation stricte entre les données professionnelles et les données privées et, en cas de doute, d’effacer ou de restaurer les données à distance. Dans le même temps, ces efforts doivent cependant se concilier avec le droit de l’utilisateur à l’autodétermination informationnelle en vertu du RGPD, une question complexe et en même temps conflictuelle, où chaque petit détail doit être examiné.

Il est donc essentiel de répondre clairement à toutes les questions pertinentes, par exemple : « Est-ce qu’un membre de la famille de l’employé peut utiliser l’appareil ? » et « Qu’advient-il des données de l’entreprise si l’employé démissionne »? La levée de ces ambiguïtés initiales peut représenter pour l’entreprise un effort supplémentaire qu’il ne faut pas sous-estimer. La politique finale du BYOD doit ensuite être communiquée de manière ouverte et transparente au personnel afin de réduire le risque de fuites de données et d’infractions aux lois sur la protection des données. Cependant, il subsiste toujours un certain risque résiduel, car l’employeur renonce aussi à une partie de son contrôle en faisant confiance à ses employés.

Sur le plan technique, les services informatiques chargés de la mise en œuvre d’un concept BYOD utilisent des approchent différentes :

• Obstacles classiques à l’accès : cela inclut les connexions chiffrées via VPN et des services contre l’accès non autorisé comme l’identification à deux facteurs.

• Solutions de conteneurs : pour assurer la sécurité des données sensibles sur les terminaux privés, de nombreuses entreprises utilisent des « conteneurs » chiffrés. Ce sont des partitions isolées et restreintes sur l’espace du disque dur local où les données sont stockées et à partir duquel la connexion au réseau de l’entreprise est établie.
• Mobile Device Management : les logiciels MDM tels que AirWatch et MobileIron sont utilisés pour l’intégration et l’administration centrale des appareils privés dans les entreprises. Les interfaces utilisateur professionnelles sont utilisées pour gérer les données, installer les mises à jour et configurer les verrous pour les connexions WLAN non sécurisées et les applications de fournisseurs tiers inconnus. Cependant, comme les salariés doivent passer d’un poste de travail à l’autre pour un usage privé ou professionnel, la gestion des appareils mobiles se fait au détriment de l’expérience utilisateur. Le renforcement du contrôle exercé par l’employeur a également des répercussions négatives sur la protection de la vie privée.
• Solutions de Sandbox : une alternative fréquemment utilisée aux solutions mentionnées ci-dessus est le Virtual desktop infrastructure ainsi que les applications Web, qui permettent l’accès à distance de l’appareil privé à l’ordinateur de l’entreprise et ne stockent donc pas de données sensibles sur des appareils externes. Il s’agit notamment des services Cloud et des plateformes de collaboration en ligne comme Microsoft Exchange.

Alors qu’il existe de nombreux pays, notamment asiatiques, ou le fait de travailler avec son propre ordinateur portable au sein de la société est répandu au point même de devenir la norme, la France s’est jusqu’à présent montrée relativement réticente vis-à-vis du BYOD. Comme nous l’avons vu, cela est dû, d’une part, à des préoccupations de sécurité pour les entreprises, mais aussi à des problèmes et des obstacles juridiques. En effet il peut se révéler être un vrai casse-tête juridique puisqu’il mélange la vie privée et la vie professionnelle.  

Par exemple, d’importantes questions de responsabilité relatives au BYOD n’ont pas encore été clarifiées au niveau central. Que se passe-t-il si le serveur d’une entreprise est endommagé par des logiciels malveillants entrés de l’extérieur ? Qui est responsable d'un ordinateur portable privé s’il est détruit ou perdu ? Et qui paie pour le volume de données qui est consommé au travail ?

Un autre exemple de complexité juridique peut être trouvé dans le droit des licences : tout le monde n’est peut-être pas conscient qu’une licence privée Microsoft Office ne peut pas être utilisée pour le travail. Une simple présentation PowerPoint pour une réunion d’entreprise peut donc être considérée comme une violation du droit de licence. L’obtention d'une licence d’exploitation pour chaque employé peut donc représenter un élément de coût supplémentaire, qui est réalisé dans le cadre du « Bring Your Own Device ».

Nous l’avons évoqué plus haut, l’expansion du BYOD a aussi créé une levée de boucliers de la part de syndicats, associations et juristes. En France, pour répondre aux inquiétudes de nombreux salariés et pour que la vie privée de ces derniers soit mieux respectée, le législateur a introduit le « droit à la déconnexion » dans le cadre de la loi Travail de janvier 2017. Ce droit vise à mieux concilier pour les salariés la vie personnelle et la vie professionnelle à l’ère du numérique et l’inscrit dans le code du travail : « Les modalités du plein exercice par le salarié de son droit à la déconnexion et la mise en place par l'entreprise de dispositifs de régulation de l'utilisation des outils numériques, en vue d'assurer le respect des temps de repos et de congé ainsi que de la vie personnelle et familiale ».

Sur la base des aspects éducatifs, économiques, sécuritaires et juridiques du BYOD, il apparaît clairement que les avantages du principe sont contrebalancés par autant d’inconvénients. Dans le tableau suivant, nous résumons les arguments pour et contre du « Bring Your Own Device » :

De toute évidence, le principe du BYOD offre de nombreux avantages tant pour les employés que pour les employeurs. Néanmoins, il n'est pas encore largement accepté en France, ce qui s'explique principalement par les dispositions légales strictes (en matière de protection des données notamment) existantes. De nombreuses études indiquent que la majorité des entreprises françaises rejettent encore l’installation du BYOD.

Aux États-Unis, d’où le concept est originaire, il y a déjà des signes d’un renversement de tendance : selon un sondage du Computing Technology Industry Association CompTIA, l’utilisation des systèmes BYOD a clairement diminué ces dernières années. L’ère des appareils privés sur le lieu de travail semble presque dépassée et à la place, deux contre-concepts ont été établis et apportent aux employeurs un meilleur contrôle sur leurs données :

• Choose Your Own Device (CYOD) : les employés peuvent choisir parmi une vaste gamme d’appareils financés par l’entreprise et donc appartenant de facto à la société. Toutefois l’utilisation à des fins privées doit être explicitement accordée au sein d’une politique d’utilisation.
• Corporate Owned, Personally Enabled (COPE) : les employés sont expressément autorisés à utiliser un appareil de l’entreprise à des fins privées. Cependant, puisqu’ils sont responsables de l’installation de base et du support de base de l’appareil, ce principe nécessite un certain niveau de compétence technique.

Reste à voir si la tendance du BYOD va continuer à diminuer outre-Atlantique, alors même qu’elle n’a pas encore pleinement pris pied.

Veuillez prendre connaissance des mentions légales en vigueur sur cet article.