Vos employés ont-ils le droit d’ouvrir un tunnel SSH personnel en arrivant au travail le matin ? Peuvent-ils utiliser leur propre compte Dropbox sur le poste de travail professionnel ? Ou partager la connexion 4G de leur mobile avec leurs collègues via WiFi ?

Si rien de tout cela n’est interdit dans votre charte informatique, alors c’est autorisé… (dans le respect, évidemment, du contrat de travail et du règlement intérieur)

Le problème n’est guère nouveau et il vient du fait que bon nombre de chartes informatiques ont été rédigées bien avant la tendance au rapprochement des sphères professionnelles et personnelles. Elles ne couvrent donc souvent que les utilisations purement professionnelles de l’outil de travail.
Si c’est le cas de la vôtre, il est peut-être temps de les remettre à jour !

Frédéric Connes et Amélie Paget, deux juristes du cabinet HSC, ont fait le point sur ces besoins de mise à jour à l’occasion de la dernière édition des GSDAYS, hier à Paris.

Premier axe de toilettage à envisager : le BYOD. La problématique n’est pas neuve mais la charte ne devrait plus se limiter aux seuls smartphones ou ordinateurs personnels utilisés à des fins professionnelles. Elle devrait couvrir dans l’absolu tous les outils personnels capables de capter et stocker des données dans l’entreprise (Google Glasses ? Voire un vieux dictaphone durant une réunion ?)

Toujours concernant les smartphones, le document devrait également éclaircir la question des sauvegardes : si ces derniers embarquent des données professionnelles et que le terminal est synchronisé et sauvegardé au domicile du collaborateur, cela peut entraîner la copie d’informations propriétaires sur un autre système personnel (l’ordinateur familial du salarié) qui n’est pour l’instant peut être pas encore mentionné dans la charte.

Le document doit désormais également préciser l’usage du « BYOS » (Bring Your Own Service) : les Dropbox, Box.com et autres services en ligne (pas nécessairement de stockage, d’ailleurs) personnels que les collaborateurs peuvent utiliser aussi sur leur lieu de travail via un outil professionnel et avec des données appartenant à l’entreprise.

De même, l’utilisation d’une connexion Internet personnelle sur le lieu de travail devrait être encadrée (jamais en manque d’acronyme le marché parle désormais de BYOC, pour « Bring Your Own Connexion »). Il s’agit ici surtout du partage de la connexion 3G ou 4G d’un mobile devenu point d’accès WiFi dans l’entreprise, mais les consultants citent également le cas (rare) d’employés s’étant faits installer une ligne ADSL privée dans leur bureau ! Dans ce cas, l’ensemble du trafic devient évidemment invisible aux outils de sécurité de l’entreprise.

Cette dernière peut alors décider d’interdire la pratique tout en restant cohérente avec la pratique du télétravail, en précisant notamment que les collaborateurs doivent n’utiliser que la connexion fournie par l’entreprise lorsqu’ils sont physiquement dans les murs de celle-ci.

Selon la fraîcheur de votre charte informatique, l’usage des outils professionnels en situation de mobilité devra peut-être également être adapté aux nouvelles pratiques. La charte devrait par exemple interdire l’usage des WiFi publics, ou imposer l’utilisation d’un VPN, par exemple.

Une autre facette de la charte qui peut ne pas encore exister de manière explicite concerne l’usage des ressources de type COPE (Corporate Owned, Personally Enabled). Il s’agit ici de solutions ou d’outils choisis et financés par l’entreprise, mis à disposition du collaborateur mais pour lesquels existent une tolérance d’usage à titre personnel. Le document doit, là aussi, encadrer explicitement cette liberté afin d’éviter d’éventuelles complications juridiques en cas d’abus de la part des salariés.

Autre pratique récente susceptible d’échapper à la charte : l’usage de la biométrie a des fin d’authentification, par exemple sur un laptop ou – plus récemment – un téléphone mobile. Il n’y a pas nécessairement de difficulté ou d’interdiction particulière, mais la charte devra prendre ce cas de figure en compte, ne serait-ce que vis-a-vis des exigences de la CNIL en la matière.

Pareil, d’ailleurs, en ce qui concerne la géolocalisation : jadis d’usage limitée, celle-ci est désormais beaucoup plus accessible depuis que n’importe quel smartphone dispose d’un GPS et que de très nombreuses applications en font usage. Mais la charte devrait acter cette capacité de géolocalisation, préciser le cadre dans lequel elle est utilisée (jamais pour surveiller le travail, par exemple) et indiquer que l’employé peut choisir de désactiver cette fonctionnalité (ce qui est le cas sur un mobile via un paramètre du système d’exploitation par exemple).

Enfin, dernier point à contrôler : l’usage des réseaux sociaux par les salariés, qu’ils parlent de l’entreprise en public (sur leurs profils) ou pour le compte de l’entreprise. Mais ce volet a de bonnes chances d’avoir déjà été couvert car le sujet est sur le devant de la scène depuis quelques temps déjà.

Toutefois il convient peut-être de vérifier si la charte mentionne également les outils de communication interne (par exemple les solutions collaboratives) : tous les échanges qui s’y déroulent sont présumés professionnels, et non privés, même s’ils ont lieu entre deux salariés seulement.