Le BYOD est une sorte de gadget marketing qui semble faire fureur dans les entreprises et les administrations depuis environ deux ans. Pourtant, ce n’est pas une nouveauté, tant sur le plan sociologique que technique et juridique, on en connaissait certaines facettes avec le télétravail. Néanmoins, avec la multiplication des communiqués relatifs aux failles de sécurité, aux leaks et aux vulnérabilités, la question du BYOD refait surface. Bienvenue dans un cauchemar juridique.
1. Le BYOD : ce casse-tête juridique
Le BYOD peut devenir la nouvelle bête noire des juristes car il concerne essentiellement trois domaines du droit : le droit social, le droit civil et le droit pénal. C’est surtout en matière de droit social que l’impact du BYOD est le plus marqué et avec raison.
1.1 Quand le BYOD (Bring Your Own Device) devient le BYOV (Bring Your Own Vulnerabilities)
On reproche souvent aux juristes et aux législateurs de ne pas savoir anticiper les évolutions technologiques et d’avoir des analyses juridiques en contradiction avec ces dernières. En matière de BYOD, curieusement, c’est le juriste qui a précédé le technicien car le salarié devient beaucoup plus vulnérable.
1.1.1 Du télétravail au BYOD
L’ancêtre juridique du BYOD est le télétravail ou travail à domicile. Il s’agit d’un mode d’organisation du travail qui repose sur un double volontariat : le consentement de l’employeur et le consentement du salarié, ce qui signifie clairement que personne ne peut l’imposer. La jurisprudence souligne cette caractéristique en énonçant que « le fait de donner l’ordre à un salarié dont le bureau est supprimé d’installer à son domicile personnel un téléphone professionnel et ses dossiers constitue une modification unilatérale du contrat de travail, autorisant le salarié à prendre acte de la rupture du contrat, rupture s’analysant comme un licenciement. [1]» Cette jurisprudence est depuis constante et pose clairement les limites du télétravail : aucun employeur ne peut imposer à son salarié le fait de travailler à son domicile s’il n’y a pas eu discussion et accord non seulement préalable mais également exprès [2], c’est-à-dire formalisé dans un avenant au contrat de travail.
À ce stade, il convient d’expliquer certaines bases juridiques : le contrat de travail est avant tout un contrat. Cela signifie qu’il n’existe que par la volonté de deux ou plusieurs personnes. S’il n’y a pas rencontre des volontés, il n’y a pas de contrat et ce consentement doit porter sur l’intégralité du contrat. S’il y a modification substantielle d’une des clauses essentielles du contrat – concernant le lieu de travail, les horaires, la mission – sans qu’il n’y ait eu acceptation expresse du salarié, ce dernier peut clairement dire que son contrat a été rompu et que cette rupture est un licenciement, ouvrant donc droit aux indemnités.
En droit social, le BYOD touche les trois phases d’un contrat : la formation du contrat au moment où un employeur et un salarié signent pour travailler ensemble, l’exécution du contrat et la fin du contrat. Sur le plan matériel, le BYOD concerne non seulement le lieu de travail comme expliqué précédemment, mais également le temps de travail ou encore la notion de propriété du matériel.
Concernant le lieu de travail, s’il a été explicitement mentionné et accepté par le salarié que ce dernier devrait être mobile et donc joignable à tout instant, il n’y a pas d’ambiguïté. Ce que les magistrats vont sanctionner sont les changements ou les abus [3]. Le lieu de travail peut être clairement indiqué dans un contrat, auquel cas, il constitue ce que l’on qualifie d’élément essentiel du contrat. Donc si on modifie la faculté pour un salarié d’effectuer certaines tâches chez lui sans son accord, il y a une faute [4], ainsi que l’énonce la Cour de Cassation.
Il existe une restriction à cette faculté reposant sur le double volontariat et elle concerne les agents de la fonction publique, qu’ils soient titulaires ou non. En effet, même s’il y a une certaine nécessité, on ne peut pas l’instaurer dans une Administration. En effet, le droit de la fonction publique énonce le principe d’égalité entre les agents placés dans une même situation. De façon simple, si un agent obtient le droit de travailler chez lui, son collègue peut tout aussi bien demander à en bénéficier. C’est donc théoriquement impossible à mettre en place car cela nécessite l’accord de tous les acteurs de l’Administration.
On a donc compris que le télétravail était l’ancêtre juridique du BYOD, et que ce fait, connaissait donc déjà certaines limitations.
1.1.2 Le BYOD et les précaires
Le BYOD ne doit pas non plus devenir une façon d’organiser le travail de façon dissimulée et par cette phrase, on pense d’abord aux contrats précaires. Ce qui est qualifié de contrats précaires sont les stages, les CDD, les contrats d’intérim, en bref, tous les contrats qui s’inscrivent dans une durée limitée.
Si on analyse les choses de façon pragmatique, on comprend parfaitement la volonté pour les personnes ayant des contrats précaires, d’en faire toujours plus, pour obtenir le Saint Graal du CDI, et il y a clairement un risque d’abus, que cet abus se place sur le plan du temps de travail ou sur le plan financier. La jurisprudence a clairement énoncé que le Bring Your Own Device ne devait absolument pas signifier Buy Your Own Device, comme nous l’expliquerons plus tard.
L’autre abus, qui risque de précariser encore plus les populations déjà fragiles, est la discrimination à l’embauche basée sur un critère économique. En principe, depuis la loi du 4 août 1984 transposée en article L.122-45 du Code du Travail, la discrimination à l’embauche est interdite et après la publication de la loi du 30 mars 2006 et la création de la défunte HALDE, les entreprises indélicates ont écopé de sanctions beaucoup plus lourdes.
On parle de discrimination à l’embauche lorsqu’il n’a été pris en compte lors de l’embauche que des critères subjectifs. Le Conseil Constitutionnel a bien entendu souligné que chacun était libre de choisir avec qui on souhaitait travailler mais le recrutement doit être basé sur des critères objectifs, si possible quantifiables ou comptables comme l’expérience professionnel, le cursus universitaire, etc.
Aujourd’hui, la HALDE a été dissoute et ses compétences ont été transférées au Défenseur des Droits [5], c’est donc à cette entité que revient les cas de discrimination à l’embauche.
À l’heure actuelle, parler de discrimination basée sur des critères économiques reste heureusement une fiction juridique dans le sens où cela n’est pas encore arrivé dans la jurisprudence. Mais quand on voit qu’un certain nombre d’offres de stage et autres contrats précaires mentionnent explicitement la maîtrise obligatoire de certains logiciels propriétaires particulièrement onéreux, on est en droit d’imaginer que les magistrats se retrouveront confrontés à des cas de discrimination économique à l’embauche basés sur le BYOD. De façon plus simple, un employeur préférera tel candidat parce que ce dernier est mieux équipé en terminaux mobiles qu’un autre.
On a vu quelles pouvaient être les difficultés juridiques et sociales posées par le BYOD pendant l’exécution du contrat de travail et avant, mais l’avènement du BYOD pose également une question essentielle à la fin du contrat de travail.
1.1.3 La question de la propriété
Quand un salarié rejoint une entreprise et que cette dernière inclut dans le contrat de travail une charte informatique, contenant des dispositions relatives au BYOD et qu’elle fournit elle-même le matériel, la question de la propriété des données et du matériel ne se pose pas : l’entreprise ou l’Administration reste propriétaire.
Mais quand les salariés mettent à disposition leurs propres matériels, avec le consentement plus ou moins tacite de leur employeur, afin de mener à bien l’exécution de leur contrat de travail, la question de la maîtrise des données reste entière : à qui appartiennent les dossiers, les fichiers, les contacts, informations créés, collectés et envoyés par le salarié depuis son propre terminal ?
Lorsque le terminal est fourni par l’employeur, ce dernier peut avoir un accès permanent aux dossiers et emails du salarié et même si le salarié quitte l’entreprise, les données restent accessibles et ont, normalement, fait l’objet d’au moins une sauvegarde. De la même façon, dans le cas où l’employeur a fourni le matériel, il aura pris soin de le mentionner spécifiquement dans le contrat de travail du salarié et d’insérer les clauses ad-hoc dans la charte informatique et le règlement intérieur.
Mais dans l’hypothèse du Bring Your Own Device et surtout du Buy Your Own Device, le salarié reste le propriétaire du matériel… et des données qui vont avec. La jurisprudence a d’ailleurs spécifiquement mentionné le fait que l’employeur devait rembourser les frais sans que cela ne soit impacté d’une façon directe ou indirecte sur la rémunération du salarié. Si on suit cet arrêt, on se figure que l’employeur peut très bien « racheter » le matériel acquis par le salarié [6]. Mais une autre jurisprudence brouille les pistes, rendant le droit silencieux sur cette question [7]. Comment résoudre cette question très épineuse ?
Emmanuel Cauvin [8] propose d’inverser les critères qui avaient été posés par l’arrêt Nikon [9] de façon à ménager à l’employeur un accès permanent dans le matériel apporté par le salarié [10]. Outre les problématiques de séparation de la vie privée et de la vie professionnelle que cette idée soulève, cette « bulle professionnelle », pour reprendre l’expression de Gérôme Billois [11], ne répond ni à la question de l’accès et du contrôle par l’employeur ni à la question de la propriété du matériel et des données.
On l’aura compris : la question de la propriété du matériel et des données, lorsque le salarié a amené son matériel et qu’il n’y a aucune disposition dans le contrat de travail et la charte informatique, reste entière. Pire encore, il peut y avoir un troisième prétendant à la propriété des données : le fournisseur du matériel. Prenons l’exemple concret de la société RIM. Les données stockées par les téléphones BlackBerry sont envoyées dans des serveurs sur lesquels seule la société RIM a la main [12], ce qui veut dire qu’elle est également propriétaire de fait, des données qui y sont stockées, données qui peuvent à tout moment être publiées, soit de façon volontairement par RIM, soit de façon involontaire en cas de leaks.
1.1.4 Les limites entre la vie privée et la vie professionnelle
À la différence de la discrimination économique – qui reste une fiction juridique – et de la question de la propriété du matériel et des données, les problématiques inhérentes à la séparation de la vie privée et de la vie professionnelle soulevées par le BYOD sont déjà bien connues des magistrats et pour cause : non seulement elles sont relativement anciennes, mais elles ont déjà trouvé des réponses avec le télétravail.
Lorsque l’on est mobile, le risque est de voir que la limite entre la vie privée et la vie professionnelle pour le salarié est considérablement réduite. Si le salarié est en permanence connecté à son smartphone, de facto, il est constamment joignable. Or, même les cadres ont un temps de travail à respecter et dépasser ce temps de travail peut tout à fait se traduire par des pénalités pour l’employeur. Prenons un exemple très concret : l’entreprise X embauche un community manager pour s’occuper de la communication de l’entreprise sur les réseaux sociaux. Cette dernière a un cœur d’activité sensible et fait que le community manager doit en permanence rester connecté et répondre le plus rapidement possible aux internautes. En regardant certains détails, on se rend compte qu’il communique pour le compte de l’entreprise en dehors de ses heures de travail, avec son matériel personnel, qu’il fait clairement plus d’heures que ce qui est spécifié dans son contrat de travail et que ce dernier ne comporte pas de clauses relatives à l’astreinte, au contraire de son collègue qui travaille à la DSI. Le community manager pourrait très bien assigner son employeur devant les Prud’hommes.
Cette absence de limite entre la vie privée et la vie professionnelle posait déjà un problème à l’époque du seul télétravail. En effet, Jean-Emmanuel Ray écrit au sujet d’une jurisprudence relative à cette question que « le salon familial n’est pas un bureau professionnel [13]. » Bien avant, un autre arrêt énonce clairement qu’un salarié n’a pas à travailler à domicile.
Par ailleurs, un autre phénomène, plus inquiétant, se développe : la cyber surveillance des salariés. Avant d’aller plus loin, rappelons qu’en raison de son pouvoir hiérarchique, l’employeur a parfaitement le droit d’avoir un regard sur le travail du salarié.
Mais cela doit s’exercer dans un cadre très restreint et très encadré [14]. Dans l’hypothèse de la cyber surveillance, qui n’est malheureusement plus un cas d’école, on a vu des employeurs fournir des téléphones équipés de trackers, de keyloggers, de spywares et autres mouchards afin de surveiller les activités de leurs salariés pendant leurs heures de travail, mais également en dehors, sans requérir leur consentement.
Or l’article 9 du Code Civil est très clair : chacun a le droit au respect de sa vie privée et ce respect est renforcé par l’article L.120-2 du Code du Travail. Ainsi, en 1997, la Cour d’Appel de Paris avait qualifié de délit d’atteinte à la vie privée caractérisé par l’installation d’un dispositif permettant d’intercepter les communications téléphoniques [15].
Pour synthétiser, le salarié n’est plus subordonné en dehors de son temps de travail, mais le BYOD redessine les limites de ce temps et de ce lieu de travail. L’employeur n’a pas à espionner son salarié car même en cas d’acte déloyal du salarié, le tribunal tranchera en énonçant qu’il s’agit d’une preuve illicite car disproportionnée et déloyale.
La prudence est donc de mise avant d’équiper les salariés de terminaux mobiles.
Il n’y a pas que le droit social qui soit impacté par le BYOD : les lignes directrices du droit civil et du régime de la responsabilité sont également sérieusement redessinées.
1.2 Quand le droit civil s’emmêle
Le droit civil est certainement la branche du droit privé que nous côtoyons le plus souvent dans notre vie quotidienne. À titre d’exemple, en allant acheter une baguette de pain, on contracte avec la boulangère. Nous sommes tous des M. Jourdain qui faisons des contrats au quotidien sans le savoir. En matière de droit civil, la question de la responsabilité tient une grande place et lorsque l’on parle de BYOD, les juristes sont bien souvent désemparés devant le silence du code et des magistrats.
1.2.1 1382 et 1384 sont sur un bateau…
Avant d’aller plus loin dans la démonstration, arrêtons-nous un bref instant sur ce qui fait le bonheur ou le cauchemar des étudiants de licence de droit : la responsabilité délictuelle.
En droit civil, on connaît deux types de responsabilité : la responsabilité contractuelle qui découle des contrats passés et la responsabilité délictuelle qui découle des faits de la vie quotidienne. Le principe de la responsabilité délictuelle est contenu dans l’article 1382 qui énonce que « Tout fait quelconque de l'homme, qui cause à autrui un dommage, oblige celui par la faute duquel il est arrivé à le réparer. » Pour simplifier, celui qui créé un dommage doit le réparer. Autre principe : en droit civil, on parle de réparation, ce qui sous-entend des dommages et intérêts. Il n’y a ni contravention ni peine de prison, sauf dans les procès pénaux avec constitution de partie civile. Donc en théorie, si une personne utilise son propre matériel dans le cadre professionnel et cause un dommage avec, il est responsable. Mais en réalité, dans le cadre professionnel, on applique un autre article du code civil : l’article 1384 alinéa 5.
1.2.2 … 1382 tombe à l’eau…
L’article 1384 énonce les cas particuliers de responsabilités : la responsabilité pour le fait d’autrui. Il explique que les parents sont responsables des dommages causés par leurs enfants, tout comme les instituteurs, et que les employeurs sont responsables des dommages causés par leurs salariés. En l’espèce, il s’agit de l’article 1384 alinéa 5.
Le principe est donc que l’employeur est responsable envers les tiers pour les dommages causés par son ou ses salariés, peu importe que le salarié se soit servi de son matériel ou non pour générer le préjudice. Illustrons la chose : un salarié, en connectant son ordinateur portable personnel au réseau de son entreprise, propage un malware par email chez les clients de cette entreprise. Les clients infectés, qui auront subi des pertes de données, de temps et d’argent, pourront se retourner contre l’employeur et non contre le salarié.
Un employeur peut se dégager de sa responsabilité à une seule condition : invoquer l’abus de fonction [16]. Mais ce moyen d’exonération répond à trois exigences cumulatives :
- L’employeur doit prouver que le salarié a agi en dehors des fonctions auxquelles il était employé.
- L’employeur doit prouver que le salarié n’avait pas l’autorisation d’agir.
- L’employeur devra prouver que l’action du salarié qui a entraîné un dommage correspond à des fins étrangères à ses attributions.
Ainsi, même si le salarié a causé un dommage avec son matériel, l’employeur reste responsable et ne peut pas se retourner contre son salarié. Dans le cas où le BYOD est largement accepté par l’employeur et qu’il n’a pas prévu le cas dans la charte informatique, cela revêt même d’une certaine logique puisque c’est l’employeur qui a permis cet état de fait.
À l’inverse, l’employeur est mis hors de cause s’il est clairement établi que le salarié qui a causé un préjudice l’a fait à l’insu de son employeur et que les actes commis sont étrangers à l’existence de ses fonctions [17].
1.2.3 … et Godfrain joue à Titanic
La loi Godfrain, transposée en articles 323-1 à 323-7 du Code Pénal, couvre les infractions informatiques. Pour résumé, quiconque porte atteinte aux données et aux systèmes informatiques risque une peine de prison d’au moins deux ans et d’une amende d’au moins 30 000€, en sachant que les peines de ce délit peuvent être alourdies en fonction des circonstances.
Mais, dans le cadre professionnel, l’employeur a non seulement une responsabilité civile pour ses salariés mais également une responsabilité pénale. Ainsi, si le salarié utilise des logiciels acquis illégalement sur son lieu de travail, dans l’exercice de ses fonctions, en accord avec sa mission, l’employeur est pénalement responsable même s’il n’en est pas informé car la loi et la jurisprudence considèrent que c’est de sa responsabilité – en raison de son pouvoir hiérarchique – d’en être informé.
Reprenons notre community manager stakhanoviste : dans le cadre de sa mission, son employeur lui demande de créer une template pour le site web de l’entreprise. Si le community manager acquiert un logiciel de retouche d’images de façon illicite, sans s’acquitter de la licence, l’employeur est responsable.
Autre enjeu de responsabilité pénale pour l’employeur : la fuite de données. Imaginons que notre community manager stakhanoviste ait un jumeau à la DSI, en charge des données personnelles de l’entreprise, faisant du e-commerce sur son ordinateur portable personnel. L’ordinateur est attaqué ou volé et les données personnelles sont découvertes, publiées sur Pastebin et allégrement partagées sur les réseaux sociaux. Selon l’article 226-17 du Code Pénal (qui n’a pas pour origine la loi Godfrain), c’est encore une fois l’employeur qui est responsable.
Enfin, d’après la loi HADOPI, l’employeur qui met à disposition un réseau Internet pour ses salariés est également responsable du réseau en question : il doit s’assurer que les salariés ne téléchargent pas de contenus culturels numériques de façon illicite. À lui d’aller s’expliquer devant la CDP (Commission de Protection des Droits) de l’Hadopi en cas de réception d’un avertissement de l’institution.
2. Le BYOD : ce casse-tête pour les DSI
2.1 Le BYOD, vecteur d’infection : quelle responsabilité pour la DSI ?
La DSI, ou Direction des Systèmes d’Information, est le département qui a la lourde tâche de veiller à ce qu’une structure – entreprise ou administration – possède non seulement les équipements informatiques nécessaires, mais aussi qu’elle soit à jour, qu’elle dispose des outils nécessaires à sa sécurité. Bref, elle a la charge tout ce qui touche de près ou de loin à l’informatique dans une entité.
Elle doit donc être parfaitement informée de ce qui passe sur ses machines et sur son réseau afin de pouvoir repérer rapidement une attaque ou une infection. Elle doit également avoir une démarche proactive dans sa gestion quotidienne, en ayant mis en place un plan de sauvegarde des données, de restauration et de réparation.
Or, dans l’hypothèse du BYOD, les appareils ne sont pas nécessairement gérés ni même déclarés à la DSI. Partant de là, il lui sera difficile d’être proactive et d’avoir un plan de sauvegarde ad-hoc si elle ne possède pas une cartographie précise et à jour des appareils alors que cela fait partie de son cœur de mission.
À partir de là, peut-il être reproché au DSI et surtout au RSSI de ne pas avoir exécuté sa mission et donc de lui imputer une faute pouvant mener à un licenciement ? On peut répondre à cette question en balayant deux cas de figure :
- le cas où la DSI et le RSSI n’ont pas été informés ;
- le cas où la DSI et le RSSI ont été informés.
Lors de la signature du contrat de travail entre un employeur et un salarié, si la charte informatique a bien été annexée au contrat de travail, qu’il a été clairement indiqué au salarié qu’il ne devait pas utiliser son matériel personnel sur son lieu de travail à moins que ledit matériel n’ait été fourni par l’employeur, que le salarié contrevient à cette directive et infecte tout un réseau, la DSI et le RSSI peuvent se voir exonérés de toutes formes de responsabilité, selon le matériel apporté par le salarié, qui aurait infecté la structure. En effet, la personne fautive dans cette hypothèse est le salarié indélicat, puisqu’il n’a pas respecté les obligations contenues dans la charte informatique, et non la DSI. La responsabilité change de main dans le second cas de figure.
Si le BYOD est autorisé et encadré au sein d’une structure, que les appareils et terminaux sont clairement déclarés auprès de la DSI et du RSSI et que malgré tout une infection se produit, la responsabilité incombe clairement à la DSI, en particulier au RSSI dont la mission principale est d’être le responsable de tout ce qui touche de près ou de loin à la sécurité informatique dans une entreprise ou une administration. À partir du moment où ce dernier disposait de toutes les informations pour avoir une démarche proactive et que cela n’a pas été fait, il peut être considéré qu’il y a une faute de sa part, sauf s’il parvient à démontrer par tous moyens que l’infection n’est pas le résultat d’une négligence ou d’une légèreté blâmable de sa part, mais bien un incident malheureux.
Dans les deux cas de figure, on voit bien que les charges de responsabilité et de travail de la DSI et du RSSI se sont considérablement alourdies et peut-être encore plus pour la DSI dans la mesure où toutes les entreprises et les administrations françaises n’ont pas de RSSI. Selon le CLUSIF, 43% des entreprises ne disposaient pas d’un RSSI en leur sein en 2012 [18]. Auquel cas, la responsabilité incombe à la DSI mais si cette dernière établit clairement que, malgré ses recommandations et ses préconisations, rien n’a été mis en place pour parer à d’éventuelles infections, l’employeur ne pourra pas se retourner contre qui que ce soit : ni la DSI, ni le RSSI, ni même le salarié qui aurait volontairement ou non généré une infection. Enfin, il convient de souligner que la DSI et/ou le RSSI ne sont pas responsables vis-à-vis des tiers – sauf dans les conditions exposées précédemment – mais vis-à-vis de leur employeur. La sanction la plus lourde pour eux pourrait être un licenciement.
2.2 Le BYOD, vecteur de désordre
On l’a vu : le BYOD alourdit considérablement les responsabilités qui pèsent sur les personnes au sein d’une entreprise, et en termes d’organisation, il est clairement un facteur de désorganisation.
Pour établir clairement son plan de sauvegarde et avoir une démarche proactive, le RSSI doit avoir cartographié l’ensemble du matériel utilisé par les salariés ou susceptible d’être utilisé sur le lieu de travail : ordinateurs de bureau, ordinateurs portables, tablettes, liseuses, smartphones, clés USB, disques durs externes, en notant toutes les caractéristiques des appareils comme les marques ou les versions d’OS installées. Cela représente déjà une charge de travail considérable même dans une petite structure.
Il doit ensuite cartographier le réseau et tous les appareils susceptibles de s’y connecter pour peut-être établir un filtrage de façon à ce qu’il n’y ait que les appareils clairement identifiés et reconnus, capables de s’y connecter.
Il doit ensuite établir une façon de filtrer les connexions physiques – par ports UBS – de façon à enregistrer les connexions et à prévenir les fuites de données.
Enfin, il doit procéder à une journalisation systématique des connexions et lire attentivement tous les logs de connexion. C’est du moins ce que préconisent certaines personnes comme Xavier Mertens qui insistait – lors des derniers RSSIL – sur la nécessité d’avoir un système de log-management et d’en faire une analyse quotidienne.
Cela peut sembler inutile de rappeler ces points, mais il y a une différence fondamentale apportée par le BYOD : le RSSI n’est pas maître du système. Il ne choisit donc ni le matériel ni les logiciels installés sur les terminaux mobiles. Il peut donc se retrouver avec des systèmes qui ne sont pas compatibles et donc avec un parc qui n’est absolument pas homogène, pour lequel il devra quand même trouver des solutions de sécurité et de sécurisation.
Difficulté supplémentaire : quand bien même le RSSI réussirait à trouver une façon d’harmoniser son parc informatique et à mettre en place un dispositif solide de sécurité, il faudra que ce plan soit approuvé par sa direction générale et que les règles de sécurité soient respectées par l’ensemble des salariés. Or, on sait pertinemment que tous les salariés ne respectent pas à la lettre le contenu d’une charte informatique – lorsque celle-ci est présente – alors comment obliger des personnes à respecter des règles de sécurité lorsqu’il n’existe aucun document ayant une force contraignante pour les y obliger ? Pire encore, comment obliger des salariés à respecter des règles de sécurité inhérentes au matériel utilisé lorsqu’ils ont été allègrement encouragés par leur employeur à utiliser leurs propres outils, qui lui y voit une façon de réduire les coûts de fournitures ?
Enfin, dans son récent rapport sobrement intitulé « Octobre Rouge », Kasperksy [19] a souligné que la mobilité était un facteur supplémentaire de risques dans la mesure où certains malwares peuvent non seulement voler les données contenues dans le téléphone, mais également obtenir des informations de configuration des équipements réseaux des entreprises (routeurs, commutateurs, etc.).
Les RSSI ont donc encore quelques bonnes nuits blanches devant eux, d’autant qu’ils ont une difficulté supplémentaire à résoudre : les préconisations de l’ANSSI.
2.3 Le BYOD en contradiction avec les préconisations de l’ANSSI
Dans son guide d’hygiène informatique, l’ANSSI adopte une position très claire : le BYOD n’a pas sa place dans une entreprise qui se targuerait d’avoir une infrastructure sécurisée. Or cette autorité plaide pour une extension de ses compétences et de ses prérogatives, avec sanctions pour les entreprises et les administrations qui ne respecteraient pas les préconisations de sécurité qu’elle émet. Par ailleurs, l’ANSSI est soutenue dans cette démarche. À titre d’exemple, le sénateur Bockel, dans son rapport d’information sur la cyberdéfense [20], dans ses recommandations n°2 à n°6, insiste pour que l’ANSSI soit dotée d’un réel pouvoir coercitif, afin de contrôler et de sanctionner les entreprises qui non seulement ne procéderaient pas à des audits de sécurité réguliers, mais également qui ne mettraient pas en place leurs recommandations.
Le problème posé par cette hypothétique extension des pouvoirs de l’ANSSI réside tant dans les conséquences économiques que juridiques pour les entreprises et les administrations. Dans le rapport Bockel, il était question de sanctionner économiquement les entreprises, donc d’infliger des amendes relativement lourdes. Or les audits de sécurité restent encore assez onéreux et soyons honnêtes : la sécurité n’est malheureusement pas encore la priorité dans la majorité des structures, quand bien même elles géreraient des données confidentielles et sensibles.
Sur le plan juridique – outre les lourdes sanctions pécuniaires – se pose la question de la possible immixtion de l’ANSSI dans la gestion quotidienne d’une structure. En imposant, comme cela est le souhait du sénateur Bockel, certaines règles, l’autorité ne risque-t-elle de faire de l’ingérence dans les affaires courantes d’une entreprise ? Une administration n’a pas à respecter les mêmes règles qu’une PME et cela vaut également pour la gestion informatique. En Suède, le FRA [21] se propose d’aligner toutes les entreprises et les administrations sur un même régime de réponse aux incidents de sécurité informatique [22], mais cela risque d’entraîner d’autres incidents, plus graves que les premiers, auxquels on souhaitait initialement répondre. Par ailleurs, le droit de regard donné à une autorité administrative ne risque-t-il pas de porter atteinte à l’un des droits fondamentaux protégés par le bloc de constitutionnalité, à savoir la liberté d’entreprise ?
Enfin, sur le plan de l’innovation technologique, une autorité administrative – même très performante – qui doit elle-même répondre à des contraintes légales, sera-t-elle la plus à même pour répondre aux exigences de terrain ?
À l’heure actuelle, l’ANSSI n’apporte aucune réponse au BYOD si ce n’est de le bannir des entreprises et des administrations, mais basant le cœur de son argumentation sur des aspects techniques. Mais ignorer ou rejeter une problématique n’est pas nécessairement la meilleure façon d’y répondre, surtout lorsque des solutions existent.
3. Solutions et prospectives
Contrairement à ce que l’on pourrait penser, il est tout à fait possible de recourir au BYOD sans causer (trop) de dégâts. Pour cela, il suffit de prendre certaines précautions, à la fois juridiques et techniques, et de faire quelques concessions.
3.1 Charte informatique mon amour
La charte informatique est le document qui permet à une entreprise ou à une administration de fixer des règles claires, simples, sans équivoques, concernant l’utilisation de l’outil informatique en son sein, dans son ensemble : navigation sur le Web, utilisation des réseaux, smartphones, clés USB, BYOD, Cloud, etc. Pourtant, cette obligation qui simplifierait la vie, à la fois des juristes, des employeurs et des DSI, est mal aimée en France. Selon le CLUSIF, 25% des entreprises n’ont pas de charte informatique et dans les administrations des collectivités territoriales, seulement 57% des agents sont informés en bonne et due forme de son existence [23].
On peut s’interroger sur ces chiffres, surtout lorsque l’on sait que l’instauration d’une charte informatique est obligatoire à partir du moment où une collecte de données personnelles est faite, par exemple, un journal de connexions, ce qui est une nécessité technique.
La charte informatique peut être annexée au contrat de travail ou au règlement intérieur. Mais dans tous les cas, pour qu’elle ait une force obligatoire, elle doit être connue et acceptée par les salariés et lorsque l’entreprise dépasse une certaine taille ou qu’il s’agit d’une administration, elle doit être acceptée par les institutions représentatives du personnel [24]. Or, parfois, certaines entités préfèrent garder un certain flou afin de s’économiser des procédures.
Mais s’il y a un recours au BYOD dans une entreprise ou une administration, la charte informatique doit clairement spécifier quels sont les droits et les devoirs, non seulement des employeurs, mais également des salariés, afin qu’ils soient protégés. Illustration concrète : en cas de départ d’un salarié qui aurait utilisé son terminal dans le cadre de sa mission, si la charte informatique est silencieuse ou carrément inexistante, le salarié sera en droit de repartir avec son terminal sans que l’employeur puisse avoir son mot à dire.
Autre raison possible à cette absence de charte informatique dans les entreprises : la difficulté de rédaction. En effet, une charte informatique va dépendre non seulement de l’entreprise ou de l’administration, mais également de son cœur de mission et même du métier des salariés. Un infographiste n’aura pas les mêmes besoins qu’un administrateur système qui n’aura pas les mêmes besoins qu’un juriste. De ce fait, la rédaction doit être suffisamment globale pour n’omettre aucun métier, mais aussi suffisamment précise pour stipuler les points spécifiques à chaque métier et suffisamment claire pour être comprise de tous les salariés. Par ailleurs, la charte doit régulièrement être mise à jour pour être conforme aux différents systèmes. Il n’y a donc pas de modèle commun.
Enfin, la dernière raison qu’il est possible d’invoquer est l’absence d’obligation légale. La CNIL spécifie bien dans sa FAQ que l’instauration d’une charte informatique n’est pas une obligation commune à tous, mais qu’elle doit être présente dans certains cas. Or, à la lecture des cas énoncés, on comprend qu’elle devrait être en place dans tous les environnements professionnels. Mais du fait de l’ambiguïté de la loi en la matière et de l’absence de sanction, la charte informatique n’est pas encore un réflexe, ni dans les entreprises ni dans les administrations, et ce, malgré les jurisprudences de la chambre sociale de la Cour de Cassation.
On l’aura compris : une bonne gestion du BYOD passe donc par la rédaction d’une charte informatique, qui doit être le résultat d’un travail commun entre le RSSI (s’il existe) ou de la DSI, du département juridique, mais également des ressources humaines. C’est un travail qui peut sembler fastidieux mais qui peut éviter des batailles juridiques de longue haleine et des pertes financières importantes.
3.2 Une nécessaire réforme du droit pénal
Au risque de choquer, il est possible de dire de façon terriblement péremptoire que la loi Godfrain est une aberration juridique. Tout d’abord, elle n’est plus adaptée aux réalités techniques car elle met au même niveau le script-kiddies qui a lancé une attaque DDOS sur un site que le consultant ou le chercheur en sécurité informatique qui aurait mis à jour une faille de sécurité importante. Pour faire simple : elles risquent toutes les mêmes peines sans pour autant poursuivre les mêmes buts ni avoir les mêmes intentions, qu’elles soient bienveillantes ou non.
Par ailleurs, elle ne prévoit aucune exception de recherche pour celles et ceux qui analysent quotidiennement les menaces informatiques [25].
Enfin, elle rend solidairement responsable l’employeur d’un salarié qui se serait livré à des actes malveillants. Or, en matière de BYOD, et c’est une banalité à pleurer que de l’énoncer, les menaces informatiques se sont répandues beaucoup plus rapidement et un salarié indélicat peut en profiter, en répandant des malwares. Dans cette hypothèse, l’employeur est tout autant responsable que le salarié et le premier devra prouver par tout moyen qu’il n’avait pas connaissance des agissements du dernier. Autre élément « amusant » : le salarié qui partirait avec des informations essentielles de l’entreprise, par exemple des codes d’accès, ne se verrait pas poursuivi sur le fondement de la loi Godfrain si l’absence de ces informations n’a pas paralysé l’utilisation quotidienne du système.
Énumérer à l’infini les jurisprudences curieuses de la Chambre Criminelle de la Cour de Cassation basées sur la loi Godfrain permet d’avoir une certitude : ce n’est pas aux innovations techniques de s’adapter au droit mais bien au droit dans son ensemble qui doit s’adapter aux réalités techniques.
3.3 Comment s’en sortent nos voisins ?
Pour une fois, les Français peuvent se rassurer en regardant ce qui se passe chez les voisins : en matière de BYOD et de gestion du BYOD, même les Suédois – qui ont pourtant quelques années d’avance sur nous – connaissent des difficultés résiduelles, alors qu’ils ont passé le cap de la mobilité il y a déjà plusieurs années.
À titre d’exemple, une récente étude qui portait sur les téléphones portables intelligents a montré que sur 50 smartphones achetés d’occasion, 39 n’avaient pas été effacés correctement et comportaient encore des informations facilement récupérables avec des logiciels gratuits en accès libre et que sur ces 39 téléphones, 16 comportaient des informations professionnelles sensibles comme des photographies de pièces d’identités, des coordonnées bancaires, des adresses ou encore des documents professionnels [26]. Pourtant, selon Gartner [27], 2013 sera le point culminant de l’introduction du BYOD dans le monde professionnel. Mais à part quelques conseils, qui relèvent surtout du bon sens, il n’existe pas d’études exhaustives sur la balance avantages/risques de l’introduction du BYOD, que ce soit dans les pays scandinaves ou aux États-Unis.
À partir de là, il conviendra d’observer les litiges qui naîtront de l’introduction du BYOD dans l’environnement professionnel, que ce soit en France ou dans les autres pays pour essayer de tracer les contours d’une stratégie suffisamment équilibrée entre les désirs des salariés, les volontés de l’employeur, les préconisations de la DSI et le bon sens juridique.
Références
[1] Soc. 22 janvier 2003
[2] Soc. 2 octobre 2001 arrêt dit Zürich Assurances
[3] Soc. 7 juin 2006
[4] Soc. 3 juin 2003 (2 arrêts)
[5] http://halde.defenseurdesdroits.fr/
[6] Soc. 19 septembre 2012
[7] Soc. 23 mai 2012
[8] Lire http://www.globalsecuritymag.fr/BYOD-ou-quand-l-exception-devient,20120201,28177.html
[9] Soc. 2 octobre 2001
[10] L’arrêt Nikon énonce que le salarié peut disposer d’un dossier explicitement marqué comme personnel sur son ordinateur de travail, dossier auquel l’employeur ne peut pas avoir accès sans le consentement explicite du salarié et que ce dernier doit être présent lors de l’ouverture dudit dossier.
[11] Lire http://www.globalsecuritymag.fr/Gerome-Billois-Solucom-BYOD-les-3,20120105,27731.html
[12] Lire la clause n°14 des conditions d’utilisation de BlackBerry, http://fr.blackberry.com/legal/terms.jsp
[13] « Droit du travail, droit vivant », édition 2007/2008, p.261 au sujet de l’arrêt Soc. 31 mai 2006
[14] Le sujet est déjà bien ancien, lire pour s’en convaincre « Internet et la vie privée au bureau » de Lionel Bochuberg et Sébastien Cornuaud, Delmas Express, Paris, 2001.
[15] CA Paris, 7 mai 1997
[16] Cass. Ass. Plen 25 février 2000 arrêt dit Costedoat. La jurisprudence est depuis constante.
[17] TGI Lyon 20 février 2001
[18] Lire http://www.clusif.asso.fr/fr/production/ouvrages/pdf/CLUSIF-Rapport-2012.pdf
[20] Lire http://www.senat.fr/rap/r11-681/r11-6811.pdf
[21] Littéralement : Institution Nationale de Défense Radio. Il s’agit d’une autorité administrative qui ne répond que devant le cabinet du Premier Ministre Suédois et qui est chargé d’intercepter toutes les communications possibles. http://www.hackersrepublic.org/cultureduhacking/la-su%C3%A8de-le-fra-et-les-vpn
[22] Au début du mois de janvier, le FRA a déposé un rapport demandant une extension de ses pouvoirs afin d'avoir un droit de regard sur la sécurité des entreprises et des administrations suédoises. http://www.hackersrepublic.org/cultureduhacking/quand-le-FRA-developpe-son-propre-outil-anti-malware
[23] Lire http://www.clusif.asso.fr/fr/production/ouvrages/pdf/CLUSIF-Rapport-2012.pdf
[24] Article L121-8 du Code du travail et article L432-1 du même code
[25] Pour l’exemple http://www.e-juristes.org/l-affaire-guillermito/ qui analysait les antivirus de façon indépendante
[26] Lire http://www.idg.se/2.1085/1.485819/hemliga-data-kvar-i-mobilen
[27] Lire http://www.twobotechnologies.com/blog/2012/12/byod-in-sweden-scandinavia-europe.html
