Protection des données et apportez votre propre appareil (BYOD)

Comment concilier le BYOD avec les exigences en matière de protection des données ?

Lorsque les employés utilisent leurs appareils personnels, tels que les smartphones ou les ordinateurs portables, comme outils de travail, la situation se complique pour les employeurs. D’une part, les employés veulent travailler sur leurs appareils familiers, mais d’autre part, la direction est obligée de respecter la protection des données. Toutefois, ce dilemme entre l’aspect pratique et la conformité peut être résolu.

Apportez votre propre appareil ou Apportez votre propre désastre ?

Qu’y a-t-il donc de critique à ce que les employés aient des données de l’entreprise sur leurs appareils personnels ? Tout simplement, l’employeur perd le contrôle des données de sa propre entreprise. Si, à première vue, il semble judicieux de permettre aux employés d’utiliser leurs appareils personnels, en y regardant de plus près, ce n’est malheureusement pas le cas. Avec BYOD (Bring your own Device), il y a un mélange de données privées et d’entreprise. En outre, le risque de perte de données augmente, car les appareils sont beaucoup plus utilisés dans la sphère privée (par exemple : lors de fêtes, de voyages, de visites privées d’amis, d’activités de loisirs).

Comme l’employeur est également responsable du respect des exigences en matière de protection des données, il doit prendre les mesures de sécurité appropriées. Cela signifie qu’il doit protéger les données de l’entreprise contre la perte ou la destruction. À cet égard, il suffit que l’employé ait accès à son compte de courrier électronique et puisse télécharger des pièces jointes (données des clients et des employés, données des partenaires commerciaux) sur l’appareil privé. Dans le même temps, cependant, l’employé a droit à la confidentialité de ses données privées sur son propre appareil. L’employeur ne peut pas simplement « filtrer » un smartphone qui ne lui appartient pas en permanence pour assurer la sécurité des données. En fin de compte, les règles du jeu de l’utilisation et les solutions techniques doivent être utilisées pour que BYOD ne devienne pas une catastrophe.

Protection des données pour les appareils mobiles

Les réglementations de base en matière de protection des données (telles que la « DSGVO ») n’ont pas trop changé pour les stratégies BYOD. Néanmoins, quelques modifications aux réglementations existantes doivent être envisagées. Les données doivent rester dans la sphère de contrôle de l’employeur, ce qui pourrait être garanti si une connexion de réseau privé virtuel (VPN) est mise en place. Cela permettrait aux employés de consulter les données sur les appareils mobiles, mais pas de les stocker sur les appareils. Cette méthode présente l’avantage qu’aucune donnée de l’entreprise ne serait affectée si l’appareil était perdu ou détruit. Cependant, il présente également un inconvénient : il ne sera pas possible de faire des modifications en mode hors ligne. Pour les équipes internationales ou les travailleurs de terrain, le travail indépendant du lieu est particulièrement important, ce qui implique souvent de travailler « sur la route » avec peu de chances d’avoir des connexions internet stables. Si cela ralentit trop la productivité, d’autres solutions techniques doivent être envisagées.

Une autre option consiste à crypter les zones de stockage sur l’appareil lui-même. Cela permet de séparer les données d’entreprise des données privées et d’éviter qu’elles ne soient mélangées. Si les propres applications de l’entreprise sont ensuite également exploitées dans cette zone de stockage protégée, c’est ce qu’on appelle le principe du « sandbox« . Là encore, il n’y a pas d’interaction entre l’environnement protégé et l’extérieur du bac à sable.  Si le système d’exploitation de l’entreprise et les applications de l’entreprise sont exploités séparément du domaine privé, ces solutions sont appelées « virtualisation ». Cela permet également à l’entreprise d’influencer l’actualité du système d’exploitation et de s’assurer qu’il reste sécurisé. Si deux systèmes fonctionnent simultanément sur l’appareil, cela aura inévitablement un impact sur les ressources et les performances du matériel (mot-clé : performances de la batterie).

Protection des données et apportez votre propre appareil (BYOD) 1Dans ce contexte, des réglementations doivent être prises pour s’assurer que les employés adaptent leurs systèmes d’exploitation à la sécurité de leur propre entreprise. En particulier, l’interdiction de modifier les systèmes d’exploitation, comme le « jailbreaking » des appareils iOS ou le « rooting » des appareils Android. Pensez également aux exigences de sécurité avec lesquelles les employés sont autorisés à se connecter à la zone sécurisée. Les capteurs biométriques tels que les empreintes digitales ne devraient pas être pris en compte, car ils ne sont pas assez fiables. La sécurité physique de l’appareil peut être définie plus en détail au moyen d’une politique. En tant que mesure complémentaire et de soutien, la formation de sensibilisation des employés est utile, car ils sont finalement confrontés à l’utilisation restreinte de leurs appareils privés.

Mise en œuvre de la stratégie BYOD

Plus les employés savent comment ils doivent se comporter dans certains cas, plus l’utilisation de BYOD devient sûre. Quels sont donc les points qui devraient être réglementés maintenant ?

  • Couverture des coûts en cas d’acquisition ou de détérioration de l’appareil, mais aussi des coûts d’utilisation de la carte SIM pour la téléphonie
  • Modèles d’appareils approuvés, versions des systèmes d’exploitation et applications (listes noires/blanches)
  • Les règles de conservation (par exemple, laisser un ordinateur portable dans la voiture, les enfants qui jouent avec le téléphone portable, etc.)
  • Assistance à la maintenance des appareils (configuration, mises à jour)
  • Droits d’accès et contrôles (suppression à distance en cas de vol)
  • Obligation de notification en cas de perte – veuillez noter les 72 heures pour signaler une violation de données selon la DSGVO (ou des règlements similaires) !
  • Exigences de sécurité pour les mots de passe
  • Conséquences en cas de violation de la politique d’utilisation (par exemple, changement d’un appareil de l’entreprise)
  • Restitution des données lors du départ de l’entreprise ou lors d’un congé
  • Restriction des droits d’accès
  • Participation à des cours de formation pour sensibiliser à la sécurité
    Informations sur le secret des données, pour le respect des secrets d’affaires et d’entreprise
  • Compléter la stratégie BYOD dans le registre des activités de traitement
    Réalisation d’une analyse d’impact sur la protection des données

Conclusion

Il est clair que l’option la plus simple signifie deux appareils pour un usage privé et professionnel, mais la réalité est différente. Dans de nombreux cas, la mise en œuvre d’une stratégie BYOD sera coûteuse et complexe, mais si elle est appliquée efficacement, elle peut devenir une situation « gagnant-gagnant » pour les employés et l’entreprise. D’une part, les utilisateurs peuvent travailler avec leurs appareils familiers, tandis que le risque existant peut être réduit grâce à un concept de sécurité.

Mag. Karin Dietl ist selbständige Unternehmensberaterin und Spezialistin für Datenschutz-Compliance. Sie startete ihre Ausbildung als Textilchemikerin, absolvierte neben der Anwaltsprüfung mehrere Jahre in internationalen Wirtschaftskanzleien und beschäftigt sich seit 2010 mit der Digitalwirtschaft. Derzeit berät sie Unternehmen zu den Themen Informationssicherheit, Datenschutz, Risikomanagement sowie Digitaler Ethik und Corporate Digital Responsibility. Sie führt zudem Datenschutz-Audits durch und wird für Unternehmen als Datenschutzbeauftragte tätig. Darüber hinaus ist sie Fachvortragende bei Veranstaltungen und Autorin zahlreicher Fachpublikationen.

Comments are closed.

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Accept Read More