Le BYOD pose plusieurs problèmes, notamment concernant l’usage des données depuis l’avènement du RGPD. (Photo: Gustavo Frazao)

Le BYOD pose plusieurs problèmes, notamment concernant l’usage des données depuis l’avènement du RGPD. (Photo: Gustavo Frazao)

BYOD, ou Bring Your Own Device (apporter son propre appareil). Sur le papier, la perspective ne présente que des avantages. L’entreprise fait l’économie de l’investissement sur des équipements à l’obsolescence rapide. Quant aux collaborateurs, ils sont accoutumés à leurs outils et n’ont pas besoin de formation ou d’accompagnement.

Dans les faits, le BYOD pose pourtant plusieurs problèmes. Le premier tient à l’usage des données et a été remis au premier plan avec l’entrée en vigueur au 25 mai 2018 du RGPD (règlement général sur la protection des données): l’entreprise est, plus que jamais, garante de la sécurisation des données qu’elle collecte et manipule, que celles-ci concernent les clients ou les collaborateurs.

Comment garantir l’intégrité de ces données si elles sont stockées sur un périphérique sur lequel l’entreprise n’a légalement aucun contrôle? L’autre interrogation-clé tient à l’indispensable délimitation entre vie personnelle et vie professionnelle. Comment ne pas faire peser une pression excessive sur les salariés s’ils restent joignables en dehors des heures de bureau sur un mobile ou un ordinateur personnel?

Enfin, en cas de perte ou de vol de l’équipement durant les heures de travail, qui est responsable et qui devra assumer le préjudice? L’assurance de l’entreprise ou celle du collaborateur? Vous l’aurez compris, ce qui paraît simple de prime abord peut rapidement virer au casse-tête.

Créer une charte: un prérequis essentiel

Si l’entreprise et ses collaborateurs s’entendent sur le principe du BYOD, la meilleure des précautions consiste à définir ensemble les règles de base de cette organisation. Il faudra notamment que cette charte précise clairement les conditions acceptables d’utilisation et qu’elle contribue à clarifier les responsabilités de l’employeur, comme de l’employé, notamment en ce qui concerne la protection des données. Rendre obligatoire l’installation d’un antivirus et assurer la mise à jour automatique de ce dernier constituera l’une des règles d’airain.

Compartimenter les activités

Si la sécurité des données professionnelle peut être gérée par la DSI de l’entreprise en imposant des dispositifs d’authentification ou l’utilisation d’un VPN, il n’existe rien de tel en revanche concernant les fichiers personnels des collaborateurs. La solution passe donc par la compartimentation – ou conteneurisation – des données.

Les DSI disposent à cet effet de solutions de gestion de flottes mobiles de type MDM (Mobile Device Management). Des outils qui servent également à automatiser le téléchargement et l’installation des mises à jour et des correctifs des applications, un autre élément essentiel pour la sécurité.