Questions les plus fréquemment posées - BYOD

De manière générale, il n'est pas recommandé de procéder à la géolocalisation , sauf pour les collaborateurs pour lesquels cela s’avère absolument nécessaire.

Au lieu de mettre en place un système permanent de surveillance par géolocalisation, l’employeur doit veiller à ce que le travailleur puisse déconnecter le système de géolocalisation en dehors des heures de travail, voire pendant les périodes où cette géolocalisation n'est pas nécessaire pour l’accomplissement de la mission.

En outre, comme pour les autres traitements, les autres dispositions de la loi vie privée sont également d’application. Une information claire à ce sujet doit être fournie aux collaborateurs, en ce compris la manière dont ils peuvent déconnecter ce système en dehors des heures de travail.

Plus d'informations sur la géolocalisation relative aux appareils mobiles.

Taxonomy: 

Oui, l’employeur en a le droit. Le consentement du travailleur n’est pas nécessaire pour cela.

En vertu de la CCT n° 81, les finalités consistant à garantir la sécurité et le bon fonctionnement technique du réseau informatique de l'employeur ou à veiller au respect des principes et des règles d'utilisation concernant la technologie de réseau présente au sein l'entreprise offrent un motif légitime pour l'installation de ce type de logiciel. L'employeur a en effet l'obligation de veiller à ce que le réseau informatique utilisé par le travailleur soit suffisamment sécurisé.

Le fait que l’appareil de télécommunication mobile appartienne au travailleur ne signifie pas a priori que ce contrôle serait illégitime. Il importe que tout collaborateur souhaitant connecter son appareil mobile au réseau de l’employeur ne compromette pas la sécurité du réseau de l’entreprise et il appartient à l’employeur de garantir la sécurité de l'information lorsqu’il accorde l’accès à son réseau et à ses applications. À ce sujet, la CCT n° 85  précise que, peu importe le fait que le télétravailleur utilise ses propres appareils dans le cadre du télétravail, l’employeur est tenu de prendre des mesures, notamment en matière de logiciel, pour sécuriser les données utilisées et traitées par le télétravailleur à des fins professionnelles et informer le télétravailleur concernant la législation et les règles d'entreprise applicables pour la sécurisation des données ainsi que concernant les sanctions en cas de non-respect de celles-ci.

Cette règle s’applique aussi dans les cas où ces appareils sont utilisés en dehors du contexte du télétravail mais à des fins professionnelles (par exemple : utilisation sur le lieu de travail, mission à l’extérieur, …).

L'employeur devra toutefois également tenir compte des principes de la Loi vie privée (finalité, proportionnalité, information du travailleur, …).

Taxonomy: 

D’un point de vue général, il est recommandé que la clause de non-responsabilité rappelle à l’utilisateur le type d’utilisation toléré de la messagerie électronique et de la connexion à Internet (mixte ou non), et qu'à cet égard, il soit fait référence au règlement d’utilisation des outils ICT approuvé par l’employeur. Il est également opportun de rappeler que le contenu des e-mails ainsi que les pages Internet accédées visitées ne peuvent être consultés par l’employeur que moyennant le respect de la procédure décrite dans la politique de contrôle approuvée par l’entreprise et pour les finalités qui y sont définies.

Taxonomy: 

Les choix à faire concernant les mesures de sécurisation incombent en premier lieu à l’employeur. Ces mesures doivent être déterminées en fonction des caractéristiques des traitements de données concernés de sorte qu’elles peuvent différer selon le type de données traitées, l’administration concernée ou encore les droits dont disposent les membres du personnel par rapport aux données.

Il convient de tenir compte du fait que, vu la portabilité des appareils ICT mobiles, le risque de vol/perte de données est plus élevé qu'avec des PC traditionnels.

L’accès à des services en ligne permettant de prendre connaissance de données à caractère personnel, surtout s'il s'agit de données sensibles, devrait si possible se baser sur un module d’authentification présentant un niveau élevé de fiabilité.

Quant au cryptage des données à caractère personnel professionnelles, il peut s’avérer recommandé si dans l’exercice de leurs missions, les membres du personnel qui doivent disposer d’appareils ICT mobiles doivent recevoir des données issues de sources authentiques telles que le Registre national ou la Banque carrefour de la sécurité sociale.

Taxonomy: 

Oui, les principes de la CCT n° 81 peuvent s'appliquer par analogie au contrôle et à l'enregistrement de loggings d'e-mails et de sites Internet visités via des appareils mobiles utilisés pour exercer la fonction, qu'ils soient la propriété de l'employeur ou non. En outre, les dispositions de la loi vie privée doivent être respectées. Il est renvoyé à ce sujet aux lignes de conduite reprises dans la recommandation précitée du 2 mai 2012.

Taxonomy: 

Oui. La CCT n° 81 s'applique aux données purement professionnelles en vue de la sécurité et/ou du bon fonctionnement technique du réseau auquel la personne concernée se connecte avec son propre appareil. La CCT n° 85 précise que, peu importe le fait que le télétravailleur utilise ses propres appareils ou ceux de l'employeur dans le cadre du télétravail, l’employeur est tenu de prendre des mesures pour assurer la sécurisation des données utilisées et traitées par le télétravailleur à des fins professionnelles et pour informer le télétravailleur de la législation et des règles d'entreprise applicables pour la sécurisation des données. L'employeur doit également informer le télétravailleur des sanctions en cas de non-respect de cette législation et des règles d'entreprise. La CCT n° 85 stipule qu'à cet effet, la CCT n° 81 s'applique.

Taxonomy: 

La recommandation d’initiative de la Commission vie privée n° 08/2012 du 2 mai 2012 relative au contrôle de l'employeur quant à l'utilisation des outils de communication électronique sur le lieu de travail qui préconise de séparer au maximum les fichiers personnels des fichiers professionnels peut aussi être appliquée aux appareils portables (par exemple en créant un répertoire personnel sur une partition du disque dur ne faisant pas l'objet de copies de sécurité (back-up) centralisées et systématiques). Cela permettra d’éviter toute prise de connaissance inutile de données à caractère personnel du collaborateur par l’employeur.

Si l'employeur peut uniquement accéder à la partie professionnelle de l'appareil du collaborateur, c'est évidemment positif pour la protection de la vie privée de ce dernier. Ce n'est toutefois pas une obligation.

Taxonomy: 

L'employeur est responsable car il doit garantir la sécurité du réseau.

En outre, l'employeur répond envers les tiers des conséquences de fautes commises par ses collaborateurs dans l'exercice de leur activité professionnelle. Si la fuite de données trouve son origine ailleurs que dans une faille dans les mesures organisationnelles ou techniques ayant été prises pour préserver la sécurité du réseau, comme par exemple si un collaborateur se détourne de la finalité du traitement de données, la responsabilité personnelle de ce collaborateur pourra être engagée s'il s'avère qu'il a dérogé intentionnellement à la finalité.

Taxonomy: 

L’employeur pourra (peut) exécuter son obligation d’information en consacrant un chapitre spécifique à ce type d’appareils dans sa politique d’utilisation des outils ICT qu’il portera à la connaissance des membres de son personnel (par exemple, dans son règlement de travail).

En plus d’une description claire des traitements qu’il réalise sur les données de ses collaborateurs, il décrira les conditions techniques et organisationnelles qu’il impose en cas de connexion à son propre réseau d’appareils BYOD (par exemple indication de la proportion dans laquelle l'utilisation d'Internet, de la messagerie électronique professionnelle ou l'installation d’applications et de programmes informatiques sont permises, définition de la nature des services accessibles au moyen de ces appareils, définition du type d’authentification et des possibilités de cryptage dont ces appareils doivent être équipés, description des modalités de conservation et de transmission sécurisées des données que l'utilisateur doit appliquer, obligation de bloquer l’appareil en cas de vol ou de perte, obligation d'installer un logiciel anti-virus mis à jour …). Afin de conserver une preuve que le collaborateur a bien été informé, l’employeur conservera une copie de la politique signée pour réception par celui-ci, ce qui lui permet de se protéger contre des accusations de piratage interne.

Taxonomy: 

En vertu du principe de transparence de la loi vie privée, tout collaborateur souhaitant se connecter avec son propre appareil au réseau de son employeur doit être clairement et précisément informé des conséquences que cela implique en termes d’accès à son appareil et de traitement de ses données pour des raisons de sécurisation du réseau de son l’employeur (ou pour toute autre finalité légitime).

Donc, si la sécurisation du réseau de l’entreprise requiert l’accès technique aux données enregistrées ou ayant transité via l’appareil mobile du collaborateur et entraîne la tenue de fichiers de journalisation des opérations effectuées à l’aide de cet appareil via le réseau de l’entreprise, le collaborateur doit être informé de ces mesures ainsi que des détails du traitement visé (nature des données collectées, délai de conservation, finalité(s) pour lesquelles elles sont collectées, nature des applications concernées, moment(s) auquel/auxquels la collecte a lieu, …).

Taxonomy: 

Vu qu'en cas d'utilisation d'appareils BYOD, ceux-ci contiennent également des données à caractère personnel, le contrôle par l'employeur doit être conforme à la loi vie privée. À cet égard, le principe de proportionnalité de la loi vie privée exige que pour préserver la sécurité, seules les données adéquates, nécessaires et pertinentes soient traitées et que la finalité et le niveau de sécurité répondent aux besoins et aux règles de l’organisation. Ainsi, il conviendra de déterminer les applications et les données auxquelles l’employeur devra accéder pour assurer la sécurisation de son réseau.

En outre, le traitement de données non directement identifiables sera quoi qu'il en soit préféré pour réaliser une sécurisation préventive du réseau. Ce n'est qu'en cas de constatation d'irrégularités sur la base du traitement de données non directement identifiables que la seconde phase d'analyse en vue d'identifier le travailleur qui compromet la sécurité peut débuter.

Le délai de conservation des traitements de contrôle effectués par l'employeur doit d’ailleurs être limité à ce qui est strictement nécessaire à la réalisation de la finalité visée.

Taxonomy: 

L’employeur peut le faire si l’utilisation d’un appareil BYOD par un travailleur déterminé compromet la sécurité du réseau informatique de l’entreprise.
Prenons l’exemple de la situation où un travailleur refuse d’accepter les conditions de l’employeur. Pour l’employeur, qui est obligé de sécuriser son propre réseau, ce refus constitue un motif légitime d’interdire au travailleur de se connecter avec son propre appareil mobile. En effet, l’employeur se trouverait dans l’impossibilité d’exécuter ses obligations d’assurer la protection de son réseau et des données utilisées par le collaborateur.

Taxonomy: 

Cette décision appartient à l’employeur.

Taxonomy: 

L’employeur est le responsable du traitement pour toutes les données professionnelles et pour tous les traitements professionnels de ces données.

Taxonomy: