une présentation Ppt bien classique

Report
BYOD : faut-il y aller ? Encadrer et
structurer plutôt que restreindre ?
Focus sur les aspects juridiques.
Me Bernard LAMON, avocat spécialiste en droit de l’informatique et des
télécommunications.
BYOD : y aller ou pas ? 24/09/2013 – © L&A
1
Sommaire
I. BYOD : Risques et opportunités pour
l’entreprise.
II. Etat du droit.
III. Des éléments de réponse.
BYOD : y aller ou pas ? 24/09/2013 – © L&A
2
I. BYOD : Risques et opportunités
pour l’entreprise
• Les fuites d’informations confidentielles,
concurrence déloyale.
• La dissémination de virus et de troyens et l’intrusion
frauduleuse.
• La responsabilité de l’entreprise en tant que FAI.
• La contrefaçon de logiciel.
• La perte de productivité !
BYOD : y aller ou pas ? 24/09/2013 – © L&A
3
I. BYOD : Risques et opportunités
pour l’entreprise
• La perte de productivité.
BYOD : y aller ou pas ? 24/09/2013 – © L&A
4
I. BYOD : Risques et opportunités
pour l’entreprise
• Les fuites d’informations confidentielles.
L’appropriation de secret de fabrique et surtout la cod
(parasitisme, débauchage, « vols » de fichiers). Ex :
utilisation des fichiers de l’ancien employeur (Cass.
com., 18 février 1997, n°94-18367).
Exception : la copie de données pour se défendre
devant le CPH (Cass. Crim. 11 mai 2004, n° 03-85.521).
BYOD : y aller ou pas ? 24/09/2013 – © L&A
5
I. BYOD : Risques et opportunités
pour l’entreprise
• L’intrusion frauduleuse : 3 infractions prévues par le
code pénal (intrusion dans un STAD). !!! Ssi le SI est
protégé !
• La responsabilité de l’entreprise en tant que FAI.
L’entreprise est titulaire d’une adresse IP, donc
obligation de surveillance de l’accès internet (art. L.
336-3 code de la propriété intellectuelle), et donc de
mise en place d’un logiciel de surveillance des
connexions des salariés.
BYOD : y aller ou pas ? 24/09/2013 – © L&A
6
I. BYOD : Risques et opportunités
pour l’entreprise
• La contrefaçon de logiciel.
– Responsabilité civile de l’entreprise (art.
1384 al. 5 c. civ.).
– !!! audits BSA.
BYOD : y aller ou pas ? 24/09/2013 – © L&A
7
II. Etat du droit
• Que peut faire l’entreprise pour contrôler le
terminal personnel de son salarié ?
• Jusqu’où le salarié peut aller concernant des
données professionnelles et leur utilisation ?
BYOD : y aller ou pas ? 24/09/2013 – © L&A
8
II. Etat du droit
• Pour contrôler le terminal personnel de son
salarié.
– Les dispositifs de surveillance des salariés :
• Principe : information préalable individuelle (article
L. 1222-4 du code du travail) et collective : article L.
2323-32 al. 2 et 3.
BYOD : y aller ou pas ? 24/09/2013 – © L&A
9
II. Etat du droit
• Pour contrôler le terminal personnel de son
salarié, en l’absence de charte informatique.
– Problème de la preuve:
• Comment identifier la personne à mettre en cause ?
– Recours à un login / mot de passe professionnel sur le poste
du salarié ;
BYOD : y aller ou pas ? 24/09/2013 – © L&A
10
II. Etat du droit
• Pour contrôler le terminal personnel de son
salarié, en l’absence de charte informatique.
– Problème de la preuve:
• Jurisprudence Néocel du 20 novembre 1991 :
« Si l’employeur a le droit de contrôler et de surveiller l’activité de
ses salariés pendant le temps de travail, tout enregistrement,
quelqu’en soit les motifs d’images ou de paroles à leur insu,
constitue un mode de preuve illicite. »
BYOD : y aller ou pas ? 24/09/2013 – © L&A
11
II. Etat du droit
• Pour contrôler le terminal personnel de son
salarié, en l’absence de charte informatique.
– Problème de la preuve:
• Un employeur ne peut procéder à l’écoute des enregistrements
faits par une salariée sur son dictaphone personnel en son
absence ou sans qu’elle ait été dûment appelée : la preuve est
déloyale.
(Cass. Soc. 23 mai 2012, n°10-23521)
BYOD : y aller ou pas ? 24/09/2013 – © L&A
12
II. Etat du droit
• 3 jurisprudences 2013
• Encadrez la messagerie web;
Cass. Soc. 4 juillet 2012 (n° 11-12502)
•
BYOD : y aller ou pas ? 24/09/2013 – © L&A
13
II. Etat du droit
• Pour contrôler le terminal personnel de son
salarié, en présence d’une charte
informatique.
– les salariés sont informés ;
– Les questions de preuve peuvent y être
abordées.
BYOD : y aller ou pas ? 24/09/2013 – © L&A
14
II. Etat du droit
• Pour protéger les données professionnelles.
• Séparer les données professionnelles des données
personnelles en créant plusieurs comptes sur
l’ordinateur du salarié ;
• Prévoir l’effacement à distance des données
appartenant à l’entreprise en cas de cessation du
contrat ?
BYOD : y aller ou pas ? 24/09/2013 – © L&A
15
II. Etat du droit
• Jusqu’où le salarié peut aller concernant des
données professionnelles et leur utilisation ?
– Interdit : la concurrence déloyale :
BYOD : y aller ou pas ? 24/09/2013 – © L&A
16
II. Etat du droit
La solution ?
L’ordonnance sur requête : art. 145 code de procédure
civile.
• Devant le président du TGI
– Avec un huissier et
– Un expert informatique.
• Problème :
– Méthode ?
– Impartialité ?
Laisser le salarié assister à la fouille de son matériel ?
BYOD : y aller ou pas ? 24/09/2013 – © L&A
17
III. Des éléments de réponse
• Réponses techniques (pas traitées, sauf pour
souligner l’application de la loi informatique et
libertés).
• Réponse juridique.
• Réponse pédagogique.
BYOD : y aller ou pas ? 24/09/2013 – © L&A
18
III. Des éléments de réponse
- Intégrer le BYOD dans le contrat de travail ou dans
charte ?
- Contrat de travail :
- Souple & Confidentiel.
- Mais trop lourd si beaucoup de salariés sont
concernés et pas une norme générale.
- Charte : avantages et inconvénients réciproques avec
une limite. La règle n’est pas toujours facile à trouver
(nul n’est censé...).
BYOD : y aller ou pas ? 24/09/2013 – © L&A
19
III. Des éléments de réponse
• Réponse juridique : La charte informatique.
– Rappel du cadre légal ;
– Rappel des définitions à connaître (!!! le destinataire
de la charte n’est pas que le salarié) ;
– Règles d’utilisation des ressources informatiques ;
– Fixer les droits accordés (ou pas) aux syndicats et aux
IRP.
– Informer sur les contrôles mis en place (avec la
possibilité pour l’employeur de consulter les
historiques de fréquentation des sites Internet, de
consulter les messageries etc.)
BYOD : y aller ou pas ? 24/09/2013 – © L&A
20
III. Des éléments de réponse
• Réponse juridique
- Intérêt de délimiter la frontière données pro/perso : la question de
l’accès aux données sur le matériel.
• Principe : l’accès à tous les répertoires et fichiers en présence du
salarié ne pose pas de problème (Cass. Soc. 26 juin 2012, n° 1115310).
BYOD : y aller ou pas ? 24/09/2013 – © L&A
21
III. Des éléments de réponse
• Réponse juridique
Accord du salarié nécessaire pour ceux marqués comme personnels,
sauf urgence ou événement particulier.
• Principe : « sauf risque ou événement particulier, l'employeur ne
peut ouvrir les fichiers identifiés par le salarié comme personnels
contenus sur le disque dur de l'ordinateur mis à sa disposition
qu'en présence de ce dernier ou celui-ci dûment appelé ».
Cass. Soc., 17 mai 2005 (n°03-40.017) ;
BYOD : y aller ou pas ? 24/09/2013 – © L&A
22
III. Des éléments de réponse
• Réponse juridique
Une limite confirmée :
• « la dénomination donnée au disque dur lui-même ne peut
conférer un caractère personnel à l'intégralité des données qu'il
contient ; que la cour d'appel, qui a retenu que la dénomination
« D:/données personnelles » du disque dur de l'ordinateur du
salarié ne pouvait lui permettre d'utiliser celui-ci à des fins
purement privées et en interdire ainsi l'accès à l'employeur ».
Cass. Soc., 4 juillet 2012 (n°11-12502) ;
BYOD : y aller ou pas ? 24/09/2013 – © L&A
23
III. Des éléments de réponse
• Réponse juridique
La question du mot de passe : Le refus de communication de mot de
passe par le salarié est en principe une faute, sauf oubli (l’entreprise avait
un service informatique). Cass. Soc., 16 Mars 2011 (n°09-69950).
Mettre un mot de passe alors que cela est interdit par l’employeur est
une faute. CA Nancy, 1er décembre 2010 (n°10-00390).
BYOD : y aller ou pas ? 24/09/2013 – © L&A
24
III. Des éléments de réponse
• Réponse pédagogique
- Escalade des sanctions :
• Mise à pied : communication par email d’informations
confidentielles à une ex-salariée de l’entreprise.
CPH Montbéliard 19 sept. 2000 ;
• Licenciement pour cause réelle et sérieuse : Utilisation d’un badge
informatique pour venir hors des horaires de travail travailler pour
son compte.
Cour d'appel de Nimes, 18 avril 2007 (n° 05/01858) ;
BYOD : y aller ou pas ? 24/09/2013 – © L&A
25
III. Des éléments de réponse
• Réponse pédagogique
- Escalade des sanctions :
• Licenciement pour faute grave : violation du secret bancaire par un
salarié qui consultait les comptes bancaires des clients.
Cass. Soc. 18 Juillet 2000 (n° 98-43.485) ;
• Licenciement pour faute lourde : destruction de fichiers
informatique et vol de sauvegarde.
Cass. Soc. 16 Novembre 2005 (n° 03-40.806).
BYOD : y aller ou pas ? 24/09/2013 – © L&A
26
III. Des éléments de réponse
• L’application au BYOD
• L’usage d’une adresse mail personnelle : Cass. soc. 16 mai
2013, 12-11.866. l’employeur peut y avoir accès
(@orange.fr) si elle est utilisée de l’ordi de l’entreprise
(les messages visualisés par l’huissier de justice
provenaient de la messagerie électronique mise à la
disposition du salarié par l’entreprise)...
• Clé USB Perso, connectée au PC de l’entreprise (Cass. Soc. 12
février 2013, n°11-28649).
• Et demain ?
BYOD : y aller ou pas ? 24/09/2013 – © L&A
27
III. Des éléments de réponse
• L’application au BYOD : et demain ?
– Pro / perso ou public/privé ?
– Même avec des incertitudes, une préparation vaut
mieux que la négation du problème.
BYOD : y aller ou pas ? 24/09/2013 – © L&A
28

similar documents