Les aspects juridiques et réglementaires du BYOD

Report
www.adira.org
Les aspects juridiques et
règlementaires du BYOD
Thibaud LE CONTE DES FLORIS– Avocat LexCase
www.adira.org
BYOD : Menace ou Opportunité
www.adira.org
Définitions
BYOD = « Bring Your Own Device »
• Pratique qui consiste pour une entreprise publique ou privée de
permettre, sous certaines conditions, à ses salariés, consultants ou
prestataires extérieurs d’utiliser leurs matériels personnels (ordinateurs
portables, tablettes et smartphones) à des fins professionnelles.
• Commission générale de terminologie et de néologie :
traduit officiellement l’acronyme en AVEC pour « Apportez Votre
Équipement personnel de Communication » (JO du 24 mars 2013).
www.adira.org
BYOD : un défi juridique à anticiper
1) Existe-t-il un cadre juridique ou règlementaire pour le
BYOD ?
NON
• A l’heure actuelle, aucun texte légal ou règlementaire
n’encadre cette pratique  Un vide juridique !
• Le BYOD soulève de nombreuses problématiques juridiques
qu’il conviendra d’appréhender à la lumière du droit positif.
www.adira.org
BYOD : un défi juridique à anticiper
2) Existe-t-il un moyen d’encadrer et de sécuriser la pratique
du BYOD ?
OUI
• En anticipant les risques juridiques liés à cette pratique ;
• En encadrant les règles applicables au sein de l’entreprise.
www.adira.org
Les risques juridiques
Propriété
intellectuelle
Sécurité
des
systèmes /
confidenti
alité
BYOD
Atteintes à la
vie privée
Droit du
travail
www.adira.org
Propriété intellectuelle
Apporter son propre matériel en entreprise
comporte des risques en termes de respect
des droits de propriété intellectuelle des tiers.
www.adira.org
Propriété intellectuelle
1)
Exemples :
 Non-respect du périmètre des licences souscrites par un
salarié à titre personnel
Ex. : Un salarié utilise quotidiennement dans le cadre de son
travail un logiciel qui n’est pas destiné à un usage commercial.
www.adira.org
Propriété intellectuelle
2) Droit positif :
 Art. L.335-3 du Code de la propriété intellectuelle :
Constituent un délit de contrefaçon :
• « toute reproduction, représentation ou diffusion, par quelque moyen
que ce soit, d'une œuvre de l'esprit en violation des droits de l'auteur,
tels qu'ils sont définis et réglementés par la loi » ;
• « la violation de l'un des droits de l'auteur d'un logiciel (..) » ;
• « toute captation totale ou partielle d'une œuvre cinématographique
ou audiovisuelle en salle de spectacle cinématographique ».
www.adira.org
Propriété intellectuelle
3) Qui est responsable : l’entreprise ou le salarié ?
 Contrefaçon de logiciel :
 Art. 1384 al. 5 du Code civil : responsabilité du commettant
(l’employeur) du fait de ses préposés (les salariés)
 Même si à l’origine, faute du salarié (usage non autorisé d’un logiciel /
atteinte aux droits exclusifs du fournisseur de logiciel), c’est l’entreprise
qui sera civilement responsable !
 Responsabilité civile et/ou pénale de la société susceptible d’être
engagée
www.adira.org
Sécurité / Confidentialité
Le BYOD entraîne aussi, et surtout, des risques en
termes de :
• sécurité des SI ;
• atteintes à la confidentialité des données de
l’entreprise.
www.adira.org
Sécurité / Confidentialité
2) Droit positif:
 Le caractère confidentiel de certaines informations
résulte de la volonté des parties (ex. : clause de
confidentialité dans contrat de travail) ;
 Certaines données et/ou informations ont néanmoins
un caractère confidentiel, secret, ou sensible en
application de la réglementation en vigueur.
www.adira.org
Sécurité / Confidentialité
2) Droit positif:
 Le caractère confidentiel de certaines informations
résulte de la volonté des parties (ex. : clause de
confidentialité dans contrat de travail) ;
 Certaines données et/ou informations ont néanmoins
un caractère confidentiel, secret, ou sensible en
application de la réglementation en vigueur.
www.adira.org
Sécurité / Confidentialité
3) Risques pour l’entreprise :
 Risque de coupure des services SI implique une
discontinuité du service  une baisse de productivité ;
 Atteinte aux données confidentielles de l’entreprise 
éventuelle mise en jeu de la responsabilité civile de
l’entreprise (par ex. si cette atteinte a causé un préjudice à
un fournisseur).
www.adira.org
Droit du travail
Utiliser son appareil personnel dans un cadre
professionnel génère des problématiques relevant du
droit du travail, et nécessite une réflexion sur la politique
RH de l’entreprise.
www.adira.org
Droit du travail
1)
Exemples :
 Une entreprise permet à certains salariés d’utiliser leur
smartphone à des fins professionnelles (seniors, cadres,
etc.), mais le refuse à d’autres…
 Un salarié envoie régulièrement des emails
professionnels et répond souvent à des clients sur son
smartphone personnel en dehors de ses heures de
travail…
www.adira.org
Droit du travail
2) Droit positif :
 Art. L. 1121-1 du Code du travail
« Nul ne peut apporter aux droits des personnes et aux libertés individuelles et
collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à
accomplir ni proportionnées au but recherché »
 Restrictions aux libertés individuelles et collectives des salariés par
l’employeur :
 Justifiées par la nature de sa mission
ET
 Proportionnées au but recherché
www.adira.org
Droit du travail
2) Droit positif :
 Loi sur le télétravail (du 22 mars 2012)
Art. L.1222-9 al. 1er du Code du travail : « le télétravail désigne toute forme
d'organisation du travail dans laquelle un travail qui aurait également pu être exécuté
dans les locaux de l'employeur est effectué par un salarié hors de ces locaux de façon
régulière et volontaire en utilisant les technologies de l'information et de la
communication dans le cadre d'un contrat de travail ou d'un avenant à celui-ci ».
 Comptabilisation des heures effectuées en télétravail au même titre que dans
le cadre d’un travail « normal »
 Applicable au BYOD ?
 NON ! car le télétravail dépend UNIQUEMENT du LIEU D’USAGE des matériels
mis à disposition du salarié (qu’ils lui appartiennent en propre ou qu’ils
appartiennent à l’employeur…)
www.adira.org
Droit du travail
3) Risques juridiques :
 Discrimination pratiquée au sein de l’entreprise (certains salariés
peuvent avoir accès au BYOD, et d’autres non) ;
 Eventuelle requalification d’une partie du temps passé hors de
l’entreprise en temps de travail (heures supplémentaires 
éventuelle contestation du montant des indemnités de
licenciement, etc.)
www.adira.org
Atteintes à la vie privée
Le BYOD soulève enfin des problématiques en
matière d’atteintes à la vie privée.
www.adira.org
Atteintes à la vie privée
1)
Exemples :
 Un salarié apporte sa tablette sur son lieu de travail. Son
employeur souhaite consulter ses fichiers et dossiers sur son
terminal pendant qu’il est en pause déjeuner.
 Un cadre utilise régulièrement son smartphone à des fins
professionnelles. Il a oublié de désactiver la fonction
« géolocalisation », et son employeur peut accéder à tous ses
déplacements privés …
www.adira.org
Atteintes à la vie privée
2) Risques juridiques
 Confusion entre données privées, auxquelles
l’employeur ne peut y avoir accès sans le
consentement et hors de la présence du salarié, et
données professionnelles contenues sur un outil
personnel.
 Problématique CNIL sur la licéité de la géolocalisation
www.adira.org
Atteintes à la vie privée
3) Droit positif
•
Principe : droit au respect de la vie privée du salarié (art.9 du Code civil), même sur son
lieu de travail !
 Arrêt Nikon (C.Cass., 2 oct. 2001) : « le salarié a droit, même au temps et au lieu de travail, au
respect de l’intimité de sa vie privée ; celle-ci implique en particulier le secret des correspondances
(…). »
•
Tempérament : Fichiers créés par un salarié grâce à l’outil informatique mis à sa
disposition sont présumés professionnels : l’employeur peut y accéder librement.
 Cass.soc., 18 oct. 2006 : « les dossiers et fichiers créés par un salarié grâce à l’outil informatique
mis à sa disposition par son employeur pour l’exécution de son travail sont présumés, sauf si le
salarié les identifie comme étant personnels, avoir un caractère professionnel »
• Exception : fichiers / mails identifiés « PERSONNEL »
 L’employeur ne peut y avoir accès :
(i) qu’ en « présence du salarié, ou si celui-ci a été dûment appelé » ;
(ii) hors de sa présence, « en cas de risque ou événement particulier » (Cass.soc., 17 mai 2005)
www.adira.org
Atteintes à la vie privée
3) Droit positif
Ces principes sont-ils applicables au BYOD ?
 Cass. soc., 12 février 2013 : une clé USB, dès lors qu’elle est
connectée à un outil informatique mis à la disposition du salarié par
l’employeur pour l’exécution du contrat de travail, étant présumée
utilisée à des fins professionnelles, l’employeur peut avoir accès aux
fichiers non identifiés comme personnels qu’elle contient, hors la
présence du salarié.
 Applicable aux smartphones, ordinateurs portables, tablettes
connectés au SI de l’entreprise ? Aucune jurisprudence à l’heure
actuelle…
www.adira.org
Solutions
 Anticiper les risques qui viennent d’être évoqués ;
 Encadrer l’utilisation du BYOD au sein de l’entreprise en prévoyant
des règles claires assorties de sanctions en cas de non-respect ;
 Elaborer une politique DSI et RH globale en la matière.
SOLUTION  élaborer / actualiser la « Charte informatique » de
l’entreprise en concertation avec la DSI s’agissant des solutions
« techniques » du BYOD (MDM, MDS, etc.)
www.adira.org
Synthèse
BYOD / RISQUES JURIDIQUES
Propriété intellectuelle
CE QUI DOIT ÊTRE PRÉVU





Sécurité/confidentialité




Droit du travail



Atteintes à la vie privée



Révision de la politique de gestion des licences de logiciel ;
Informer les salariés des terminaux/logiciels tolérés ;
Interdiction d’utilisation de logiciels pour lesquels la société n’a pas acquis de
licence;
Obligation générale de respecter la réglementation PI
Mise en place de mesures de sécurité (par ex. capacité d’effacement des données
à distance, antivirus, MDM/MDS,…) ;
Protection des logs in / mots de passe ;
Mise en place de mesures en cas de perte/vol d’un matériel ;
Obligation générale de confidentialité/vigilance des salariés.
Révision des contrats de travail (par ex. : droit d’utiliser un smartphone, sous
quelles conditions, etc.) ;
Prévoir la procédure à appliquer en cas de départ/absence du salarié ;
Opposabilité de la charte informatique aux salariés
Mise en place de procédures pour la séparation des données
personnelles/professionnelles ;
Mise en place de la protection des données personnelles ;
Mise en place d’une politique de surveillance des données ;
Prévoir la procédure à appliquer pour accéder aux terminaux personnels en cas
de risque ou d’urgence.
www.adira.org
Questions
Merci de votre attention…
Avez-vous des questions ?

similar documents