19 mars 2013

Royaume-Uni: guide sur les enjeux du Bring your own device (BYOD)

Publié le 19 mars 2013 - modifié le 20 mars 2013 (lien vers le guide)
 
Utiliser son ordinateur, son téléphone intelligent ou encore sa clé USB au travail peut présenter des avantages ... mais aussi des risques comme l'indique l'Information Commissioner's Office (ICO) du Royaume-Uni dans un guide intitulé Bring your own device (BYOD)

Dans ce guide, l'ICO insiste sur le fait que
[48] BYOD raises a number of data protection concerns due to the fact that the device is owned by the user rather than the data controller. However, it is crucial that as data controller you ensure that all processing for personal data which is under your control remains in compliance with the DPA. Particularly in the event of a security breach, you must be able to demonstrate that you have secured, controlled or deleted all personal data on a particular device.
Ainsi, il est recommandé de tenir compte de plusieurs éléments eu égard à la condidentialité, à la sécurité et au transfert des données, et notamment des éléments suivants: 
[10] BYOD must not introduce vulnerabilities into existing secure environments.
[11] It is important that users connecting their own devices to your IT systems clearly understand their responsibilities.
[14] Regardless of where the data is stored, you will have to take appropriate measures to protect against unauthorised or unlawful access, for example if the device is lost or stolen. This remains your respnsibility as the data controller. 
[22] Forcing all trafic through an encrypted channel such as a VPN, or HTTPS for individual services, can offer some security when using an un-trusted connection, for example an open Wi-Fi network in a coffee shop. However, if you are offering a VPN connection back through the corporate network you should be mindful of any internet monitoring software you have in operation, especially during periods of personal use. If the device sends data via non-corporate systems (for example a public email service) then there is limited opportunity to audit activity.
[25] If you use removable media to transfer data (USB drives or CDs), you must also consider the safe and secure deletion of the data on the media, once the transfer is complete. 
[28] Some devices may offer an automated backup facility which stores a backup of data on the device to the user’s cloud-based account or to the user’s personal computer. As data controller, you will need to ensure that, if this facility is enabled, it will not lead to an inappropriate disclosure of personal data.
[32] You should determine how you will ensure that vulnerabilities in the operating system or other software on the device are appropriately patched or updated. [...] 
[33] You could achieve this protection by restricting the choice of operating systems available to users. Again this could be difficult where the employer does not own the device. You should also consider how to manage employees who might ‘root’ or ‘jailbreak’ devices, a process which may remove some of the default security controls an operating system has in place. 
[37] If employers wish to monitor their workers, they should be clear about the purpose and satisfied that the particular monitoring arrangement is justified by real benefits that will be delivered. 
Pour plus de détails: 

Toujours au sujet de cette "pratique consistant, pour un employé, à utiliser son matériel électronique personnel dans le cadre de son travail" (Office québécois de la langue française), la Cour de cassation (France) a rendu le 12 février 2013 une décision par laquelle elle se prononce  
"sur le droit de vérification de l’employeur sur un Byod (Bring your own device), en l’occurrence une clé USB personnelle d’une salariée sur le lieu de travail. [Elle] a affirmé « qu’une clé USB, dès lors qu’elle est connectée à un outil informatique mis à disposition du salarié par l’employeur pour l’exécution du contrat de travail, étant présumée utilisée à des fins professionnelles, l’employeur peut avoir accès aux fichiers non identifiés comme personnels qu’elle contient, hors de la présence du salarié ». Elle a ainsi invalidé la décision d’appel qui avait considéré que le moyen de preuve était illicite, l’employée n’ayant pas été présente lorsque la clé USB avait été consultée par l’employeur. Dans cette affaire, une salariée avait été licenciée pour avoir enregistré sur une clé USB des informations confidentielles relatives à l’entreprise ainsi que des documents personnels de collègues et du dirigeant."

Voir également

2 commentaires:

  1. Bonjour
    Merci pour ce lien.

    Problème de redirection ?
    Pour pouvoir enregistrer le document en pdf, il faut utiliser la fonction "Enregistrer la cible du lien sous..." et le renommer avec l'extension "pdf". (Testé sous Firefox)

    RépondreSupprimer
    Réponses
    1. Bonjour,
      Merci pour votre message.
      Le lien a été modifié. Le lien vers le guide de l'ICO n'est donc plus en format "ashx", mais en format "pdf".

      Supprimer

Remarque : Seul un membre de ce blog est autorisé à enregistrer un commentaire.