Si le Byod sim plifie la vie des collaborateurs, il complique la journée des services informatiques, mais aussi des juristes ou des services RH. Car, outre la compatibilité des systèmes entre eux, il peut ouvrir portes et fenêtres de l’entreprise à des tiers plus ou moins bienveillants : du fiston voulant mieux connaître les collègues de maman au propriétaire d’une borne Wi-Fi vraiment mal intentionné. 71 % des DSI français refusent donc d’autoriser les salariés à utiliser leurs smartphones personnels pour travailler. Mais, dans la vraie vie, 52 % des collaborateurs déclarent le faire…

La cohabitation de gigaoctets de données professionnelles et privées dans le même matériel privé pose deux graves problèmes de sécurité.

Sécurité informatique. IBM ayant interdit à ses 430 000 collaborateurs de recourir à Siri (le système magique de reconnaissance vocale d’Apple), la société canadienne RIM, aujourd’hui au bord du précipice, a vite saisi cette magnifique occasion. Son dernier BlackBerry a deux compartiments étanches, accessibles d’un simple glissé du doigt en haut de l’écran ! Son logiciel BlackBerry Balance (sic) permet en effet de dissocier au sein du même appareil vie professionnelle et vie personnelle, avec un mur entre les deux. Il est ainsi impossible de coller dans le compartiment Personnel une infor mation copiée dans l’univers professionnel ou de faire suivre un courriel confidentiel vers un contact privé. Il s’agit moins de sauvegarder la vie privée du collaborateur fan des réseaux sociaux ou de Meetic que de permettre à la DSI de contrôler tous ses courriels et autres dossiels, ici forcément professionnels.

Cyberespionnage. Début 2013, nombre de collaborateurs n’ont pas encore compris qu’un smartphone n’est plus le téléphone né en 1876 mais un puissant ordinateur, et que les problèmes de sécurité de leur petit bijou technologique personnel n’ont pas grand-chose à voir avec ceux de leur prétendu personal computer fixe du bureau.

Si tout commercial de haut vol ou tout ingénieur d’un service de R et D sait qu’il ne doit pas se rendre dans certains pays étrangers (dont les États-Unis en raison du Patriot Act) avec son ordinateur professionnel bourré de données sensibles, il part en vacances avec sa petite famille et son ordinateur personnel sans penser à mal, et a fortiori qu’il pourra l’oublier dans un taxi. En France, il connecte d’ailleurs couramment son bismartphone sur des bornes Wi-Fi non sécurisées. S’il convient, bien sûr, de contrôler techniquement les données professionnelles (cryptage des données sensibles, applications d’effacement à distance), il faut avant tout faire de la pédagogie active sur les comportements adéquats au moyen de formations et de chartes informatiques.

Mais soyons réalistes : la confidentialité n’est plus ce qu’elle était à l’époque des copistes puis de la photocopieuse. Avec son smartphone personnel, un collaborateur indélicat peut charger au bureau des méga octets de données ou tout simplement photographier, voire filmer des pages d’écran où apparaissent des données ou des dessins confidentiels sans que le service informatique ne puisse constater un quelconque téléchargement, transfert ou tirage papier.

Morale : pour les salariés en contrat à durée déterminée et a fortiori les travailleurs temporaires ou autre stagiaires, le Byod n’est pas du tout une bonne idée. Certains secteurs sensibles (médical, bancaire) doivent interdire le Byod, voire pratiquer « l’iByod » (l’inverse du Byod) en fournissant à leurs collaborateurs un matériel à destination professionnelle et personnelle ultrasécurisé. La charte informatique rappellera enfin à tous que mettre en vente son magnifique smartphone personnel sur eBay est exclu avant un grand nettoyage par le vide.

Attentifs aux prix d’achat et coûts de maintenance des matériels informatiques de bureau, loin d’être négligeables, surtout en temps de disette, (3 000 euros tout compris pour un PC), les services généraux confient volontiers que le matériel de l’entreprise est moins bien entretenu, voire plus souvent volé, que celui appartenant au salarié, lui régulièrement mis à jour, avec des applications dernier cri. Mais Bring your own device ne peut devenir Buy your own device, comme l’a rappelé un arrêt de la chambre sociale du 19 septembre 2102 sur le remboursement des dépenses effectuées par un collaborateur pour son activité professionnelle : « Les frais qu’un salarié justifie avoir exposés pour les besoins de son activité professionnelle et dans l’intérêt de l’employeur doivent être remboursés sans qu’ils puissent être imputés sur la rémunération qui lui est due, à moins qu’il n’ait été contractuellement prévu qu’il en conserverait la charge moyennant le versement d’une somme fixée à l’avance de manière forfaitaire et à la condition que la rémunération proprement dite du travail reste chaque mois au moins égale au smic. »

Dans le même ordre d’idée :

– en cas de panne du matériel en cause, outre le problème immédiat de productivité du salarié parfois numériquement paralysé, le coût de la réparation incombe-t-il au collaborateur qui en est le propriétaire, ou à l’entreprise si satisfaite de cette utilisation professionnelle ;

– idem en cas de vol dans l’entreprise ou surtout pendant les trajets professionnels : l’employeur (qui aura pris soin de prévoir un blocage ou un effacement à distance) va-t-il devoir le rembourser ? Prévoir contractuellement une répartition des charges permettra d’éviter des tensions récurrentes, voire du contentieux.

L’intéressant arrêt du 23 mai 2012 met en scène une attachée de direction licenciée pour faute grave. Avec son Dictaphone personnel, elle avait (y compris pendant ses absences) discrètement en registré pendant quatre mois les conversations au sein de la société, portant une grave atteinte à la vie privée de personnes (supérieur, mais aussi collègues et clients…) dont les paroles étaient enregistrées à leur insu. Pour confirmer la faute grave, et voulant éviter que loyauté ne rime avec impunité, la cour d’appel avait retenu que « le directeur ayant découvert le Dictaphone de la salariée en mode enregis trement dans les locaux de l’entreprise, il était fondé à le retenir et à en écouter immédiatement l’enregistrement en l’absence de la salariée mais en présence de plusieurs témoins ; le fait pour un cadre d’enregistrer de façon illicite des conversations de bureau à l’insu de ses collègues et d’occasionner ainsi un certain émoi et un climat de méfiance ou de suspicion contraire à l’intérêt de la société constitue une faute grave ».

Cassation le 23 mai 2012 au visa des articles 9 du Code de procédure civile, 6-1 de la CESDH et du « principe de loyauté dans l’administration de la preuve » : « L’employeur ne pouvait procéder à l’écoute des enregistrements réalisés par la salariée sur son Dictaphone personnel en son absence ou sans qu’elle ait été dûment appelée. »

Même solution, donc, que s’il s’agissait de l’ouverture d’un dossiel titré « privé » figurant dans l’ordinateur professionnel d’un collaborateur. Curieux arrêt, donc, ne semblant faire aucune différence de principe entre un outil personnel et professionnel. Or le fait qu’il appartienne à l’entreprise ou au salarié aurait pu justifier un régime plus sévère dans le premier cas. Mais l’employeur avait trouvé le Dictaphone sous l’écran informatique et n’avait pas été farfouiller dans les affaires personnelles de l’assistante : hypothèse où la jurisprudence est extrêmement protectrice (prévision au règlement intérieur, présence d’un témoin, droit de refuser…).

« Le temps de repos suppose que le salarié soit totalement dispensé, directement ou indirectement et sauf cas exceptionnels, d’accomplir pour son employeur une prestation de travail, même si celle-ci n’est qu’éventuelle ou occasionnelle. » (Chambre sociale, 10 juillet 2002.) Le même terminal étant utilisé pour nos deux vies en cas de Byod, la frontière entre vie personnelle et vie professionnelle est encore plus mince qu’en cas de télétravail au domicile. « L’ubicomputing » (« le réseau pervasif » : c’est-à-dire la con nexion automatique de tous nos instruments de torture technologique) pose de solides problèmes de repos mais aussi de santé, mentale en particulier. Le CHSCT pourrait donc s’y intéresser. Car c’est une chose de recevoir deux courriels comminatoires sur son portable professionnel le dimanche matin. Mais il n’est pas certain que nos juges, légitimement attachés au temps de repos et au respect de la vie privée, voient du même œil l’intrusion patronale lors qu’elle arrive sur le téléphone personnel du collaborateur. À moins qu’il ne soit très officiellement d’astreinte, il est encore moins obligé d’y répondre, comme l’avait rappelé l’arrêt du 17 février 2004 à propos d’un ambulancier privé licencié pour faute grave « pour avoir mis en danger la vie d’autrui, et l’avenir de l’entreprise en péril ». M. R. avait en effet refusé de répondre à trois appels de son employeur sur son téléphone portable personnel un vendredi pendant la pause déjeuner. « Le fait de n’avoir pu être joint en dehors des horaires de travail sur son téléphone personnel est dépourvu de caractère fautif et ne permet donc pas de justifier un licenciement disciplinaire. »

N’étant pas d’astreinte, le salarié n’avait commis aucune faute en refusant de rester à disposition de son employeur pendant le déjeuner. Il était temps que la Cour de cassation reconnaisse effectivement le droit à la déconnexion (des portables et donc aussi des neurones). A fortiori pour les salariés au forfait jours en nos temps où la Toile doit être comprise au sens arachnéen du terme.

Byod et rupture du contrat de travail

Lors du départ du salarié, l’employeur peut demander à récupérer les matériels professionnels : mais seulement à l’issue du préavis, effectué ou non (chambre sociale, 11 juillet 2012, à propos d’une voiture de fonction), « même en application d’un engagement pris dans le contrat de travail ».

Mais s’il s’agit d’un matériel personnel, le droit de propriété s’exerce en sens inverse. Last but not least : le salarié qui rejoint la concurrence peut ainsi emporter dans son portable personnel des informations très confidentielles appartenant à son ancien employeur. Il ne s’agit évidemment pas d’évoquer une clause de non-concurrence, mais les textes relatifs aux secrets de fabrication (L. 1227-1), et demain la proposition de loi Carayon relancée le 1^er octobre 2012 créant un article 226-14-1 du Code pénal relatif au « délit d’atteinte au secret d’une information à caractère économique protégée » : trois ans d’emprisonnement et 37 500 euros d’amende pour « toute personne non autorisée par le détenteur […] de s’approprier, de conserver, de reproduire ou de porter à la connaissance d’un tiers non autorisé une information à caractère économique protégée ».