BYOD : faut-il y aller ? Encadrer et structurer plutôt que restreindre ? Focus sur les aspects...

1

BYOD : faut-il y aller ? Encadrer et structurer plutôt que restreindre ? Focus sur les aspects juridiques.

Me Bernard LAMON, avocat spécialiste en droit de l’informatique et des télécommunications.

BYOD : y aller ou pas ? 24/09/2013 – © L&A

2

Sommaire

I. BYOD : Risques et opportunités pour l’entreprise.

II. Etat du droit.III. Des éléments de réponse.

BYOD : y aller ou pas ? 24/09/2013 – © L&A

• Les fuites d’informations confidentielles, concurrence déloyale.

• La dissémination de virus et de troyens et l’intrusion frauduleuse.

• La responsabilité de l’entreprise en tant que FAI.• La contrefaçon de logiciel.• La perte de productivité !

3BYOD : y aller ou pas ? 24/09/2013 – © L&A

I. BYOD : Risques et opportunités pour l’entreprise

• La perte de productivité.



• Les fuites d’informations confidentielles.L’appropriation de secret de fabrique et surtout la cod (parasitisme, débauchage, « vols » de fichiers). Ex : utilisation des fichiers de l’ancien employeur (Cass. com., 18 février 1997, n°94-18367).Exception : la copie de données pour se défendre devant le CPH (Cass. Crim. 11 mai 2004, n° 03-85.521).



• L’intrusion frauduleuse : 3 infractions prévues par le code pénal (intrusion dans un STAD). !!! Ssi le SI est protégé !

• La responsabilité de l’entreprise en tant que FAI. L’entreprise est titulaire d’une adresse IP, donc obligation de surveillance de l’accès internet (art. L. 336-3 code de la propriété intellectuelle), et donc de mise en place d’un logiciel de surveillance des connexions des salariés.



• La contrefaçon de logiciel.

– Responsabilité civile de l’entreprise (art. 1384 al. 5 c. civ.).

– !!! audits BSA.



• Que peut faire l’entreprise pour contrôler le terminal personnel de son salarié ?

• Jusqu’où le salarié peut aller concernant des données professionnelles et leur utilisation ?


II. Etat du droit

• Pour contrôler le terminal personnel de son salarié.– Les dispositifs de surveillance des salariés : • Principe : information préalable individuelle (article

L. 1222-4 du code du travail) et collective : article L. 2323-32 al. 2 et 3.


II. Etat du droit

• Pour contrôler le terminal personnel de son salarié, en l’absence de charte informatique.– Problème de la preuve:

• Comment identifier la personne à mettre en cause ?– Recours à un login / mot de passe professionnel sur le poste

du salarié ;


II. Etat du droit


• Jurisprudence Néocel du 20 novembre 1991 : « Si l’employeur a le droit de contrôler et de surveiller l’activité de ses salariés pendant le temps de travail, tout enregistrement, quelqu’en soit les motifs d’images ou de paroles à leur insu, constitue un mode de preuve illicite. »


II. Etat du droit


• Un employeur ne peut procéder à l’écoute des enregistrements faits par une salariée sur son dictaphone personnel en son absence ou sans qu’elle ait été dûment appelée : la preuve est déloyale.(Cass. Soc. 23 mai 2012, n°10-23521)


II. Etat du droit

• 3 jurisprudences 2013

• Encadrez la messagerie web;Cass. Soc. 4 juillet 2012 (n° 11-12502)

•


II. Etat du droit

• Pour contrôler le terminal personnel de son salarié, en présence d’une charte informatique.

– les salariés sont informés ;– Les questions de preuve peuvent y être

abordées.


II. Etat du droit

• Pour protéger les données professionnelles.

• Séparer les données professionnelles des données personnelles en créant plusieurs comptes sur l’ordinateur du salarié ;• Prévoir l’effacement à distance des données

appartenant à l’entreprise en cas de cessation du contrat ?


II. Etat du droit

• Jusqu’où le salarié peut aller concernant des données professionnelles et leur utilisation ?

– Interdit : la concurrence déloyale :


II. Etat du droit

La solution ?

L’ordonnance sur requête : art. 145 code de procédure civile.• Devant le président du TGI

– Avec un huissier et– Un expert informatique.

• Problème :– Méthode ?– Impartialité ?

Laisser le salarié assister à la fouille de son matériel ?


II. Etat du droit

• Réponses techniques (pas traitées, sauf pour souligner l’application de la loi informatique et libertés).

• Réponse juridique.• Réponse pédagogique.


III. Des éléments de réponse

- Intégrer le BYOD dans le contrat de travail ou dans charte ?

- Contrat de travail : - Souple & Confidentiel.- Mais trop lourd si beaucoup de salariés sont

concernés et pas une norme générale.- Charte : avantages et inconvénients réciproques avec

une limite. La règle n’est pas toujours facile à trouver (nul n’est censé...).



• Réponse juridique : La charte informatique.– Rappel du cadre légal ;– Rappel des définitions à connaître (!!! le destinataire de

la charte n’est pas que le salarié) ;– Règles d’utilisation des ressources informatiques ;– Fixer les droits accordés (ou pas) aux syndicats et aux

IRP.– Informer sur les contrôles mis en place (avec la

possibilité pour l’employeur de consulter les historiques de fréquentation des sites Internet, de consulter les messageries etc.)



• Réponse juridique

- Intérêt de délimiter la frontière données pro/perso : la question de l’accès aux données sur le matériel.• Principe : l’accès à tous les répertoires et fichiers en présence du

salarié ne pose pas de problème (Cass. Soc. 26 juin 2012, n° 11-15310).




Accord du salarié nécessaire pour ceux marqués comme personnels, sauf urgence ou événement particulier.

• Principe : « sauf risque ou événement particulier, l'employeur ne peut ouvrir les fichiers identifiés par le salarié comme personnels contenus sur le disque dur de l'ordinateur mis à sa disposition qu'en présence de ce dernier ou celui-ci dûment appelé ».Cass. Soc., 17 mai 2005 (n°03-40.017) ;




Une limite confirmée :• « la dénomination donnée au disque dur lui-même ne peut conférer un caractère personnel à l'intégralité des données qu'il contient ; que la cour d'appel, qui a retenu que la dénomination « D:/données personnelles » du disque dur de l'ordinateur du salarié ne pouvait lui permettre d'utiliser celui-ci à des fins purement privées et en interdire ainsi l'accès à l'employeur ».Cass. Soc., 4 juillet 2012 (n°11-12502) ;



• Réponse juridiqueLa question du mot de passe : Le refus de communication de mot de passe par le salarié est en principe une faute, sauf oubli (l’entreprise avait un service informatique). Cass. Soc., 16 Mars 2011 (n°09-69950).Mettre un mot de passe alors que cela est interdit par l’employeur est une faute. CA Nancy, 1er décembre 2010 (n°10-00390).



• Réponse pédagogique

- Escalade des sanctions :• Mise à pied : communication par email d’informations

confidentielles à une ex-salariée de l’entreprise.CPH Montbéliard 19 sept. 2000 ;

• Licenciement pour cause réelle et sérieuse : Utilisation d’un badge informatique pour venir hors des horaires de travail travailler pour son compte.Cour d'appel de Nimes, 18 avril 2007 (n° 05/01858) ;



• Réponse pédagogique

- Escalade des sanctions :• Licenciement pour faute grave : violation du secret bancaire par un

salarié qui consultait les comptes bancaires des clients. Cass. Soc. 18 Juillet 2000 (n° 98-43.485) ;

• Licenciement pour faute lourde : destruction de fichiers informatique et vol de sauvegarde.Cass. Soc. 16 Novembre 2005 (n° 03-40.806).



• L’application au BYOD• L’usage d’une adresse mail personnelle : Cass. soc. 16

mai 2013, 12-11.866. l’employeur peut y avoir accès (@orange.fr) si elle est utilisée de l’ordi de l’entreprise (les messages visualisés par l’huissier de justice provenaient de la messagerie électronique mise à la disposition du salarié par l’entreprise)...

• Clé USB Perso, connectée au PC de l’entreprise (Cass. Soc. 12 février 2013, n°11-28649).

• Et demain ?



• L’application au BYOD : et demain ?

– Pro / perso ou public/privé ?– Même avec des incertitudes, une préparation vaut

mieux que la négation du problème.



BYOD : faut-il y aller ? Encadrer et structurer plutôt que restreindre ? Focus sur les aspects...

Documents

Transcript of BYOD : faut-il y aller ? Encadrer et structurer plutôt que restreindre ? Focus sur les aspects...