La démocratisation technologique récente notamment des ordinateurs personnels, des smartphones et plus récemment des tablettes, permet aux salariés d’accéder plus rapidement à des outils plus performants et confortables que ceux que l’employeur peut mettre à leur disposition. La pratique du « BYOD » s’est ainsi développée, permettant l’utilisation d’un matériel personnel dans un cadre professionnel.

Pour les employeurs, le principal enjeu est double : minimiser les risques de piratage des logiciels et assurer la protection de données de l’entreprise. Les questions juridiques soulevées par le BYOD sont en effet avant tout liées à la confidentialité de ses données, les salariés pouvant par ce biais compromettre la sécurité des systèmes d’information (par la simple perte de leur outil personnel par exemple).

En outre, si le BYOD présente de nombreux avantages pour l’employeur (diminution des coûts), comme pour le salarié (satisfaction, confort et efficacité), il fait toutefois émerger de nombreuses interrogations en droit social. Les risques en la matière proviennent principalement du lien étroit qui est ainsi créé entre la vie privée et la vie professionnelle des salariés, du fait même de l’utilisation à des fins professionnelles d’un outil personnel.

Il en est ainsi notamment du risque de perte de la maîtrise du temps de travail, des risques psychosociaux résultant de l’hyper-connectivité, ou encore, du risque de traitement différent des salariés (qui ont et non « accès » au BYOD par exemple).

L’étendue de ces risques qui ne sont pas encore directement traités dans un cadre juridique précis explique la prudence des entreprises vis-à-vis de ce « phénomène de société ».

Au niveau européen, une proposition de régulation européenne de 2012 vise à renforcer les règles de protection des données dans les relations d’emploi, tandis qu’au Royaume-Uni, le « Information Commissioner’s Office » (qui équivaut à notre CNIL) a publié un guide proposant des recommandations afin de garantir la protection des données dans le cadre des BYOD.

En France, si des règles générales existent en matière d’utilisation des technologies de l’information et des communications, deux arrêts récents de la Cour de Cassation semblent poser les premières pierres d’un encadrement juridique pour les BYOD, en s’appuyant sur sa jurisprudence classique en matière d’utilisation par le salarié du matériel professionnel mis à sa disposition : caractère privé de la « correspondance », même au temps et lieu de travail et présomption du caractère professionnel des fichiers non identifiés comme « personnel ».

Ainsi dans un arrêt « Dictaphone », du 23 mai 2012, la Cour de cassation, considère que l’employeur ne pouvait écouter le contenu du dictaphone personnel d’un salarié, enregistrant les conversations de ses collègues, sans la présence du salarié ou sans l’avoir averti. Dans un arrêt « Clé USB », du 12 février 2013, la Cour de cassation a accepté qu’un employeur puisse accéder aux données non identifiées comme « personnelles » enregistrées sur la clé USB personnelle d’un salarié, branchée à l’ordinateur mis à disposition par l’employeur, celle-ci devenant ainsi également un outil professionnel « par destination ».

La Cour de cassation, dans ces décisions, rattache donc son raisonnement aux grands principes dégagés par sa jurisprudence classique élaborée depuis l’arrêt « Nikon » (du 2 octobre 2001). Toutefois, le contexte avec les BYOD est inversé, dans la mesure où il ne s’agit pas d’un outil de l’entreprise mis à disposition du salarié pour l’exécution de ses fonctions, mais de son propre outil utilisé à des fins professionnelles. La problématique est donc différente : l’employeur peut-il, sans violer la vie privée du salarié, avoir le même accès à son outil personnel que celui qu’il peut avoir sur le matériel professionnel mis à sa disposition? Il faudra attendre des décisions de la Cour de cassation sur le cas particulier des BYOD pour connaître la réponse à cette question.

Force est de constater qu’avec ou sans le consentement de l’employeur, certains salariés utilisent d’ores et déjà leurs outils personnels pour travailler, et une pratique non encadrée apparait bien plus dangereuse qu’une autorisation encadrée. Ainsi, à défaut de cadre clair à ce stade, les entreprises doivent donc se prémunir d’éventuels risques, en utilisant les outils juridiques et techniques existants, notamment le contrat de travail et la charte informatique. Aussi, la gestion des risques doit viser le risque humain, par la sensibilisation et l’information des salariés.

Dès lors, au vu de la rapidité de l’évolution des pratiques des utilisateurs de smartphones, ordinateurs portables ou encore tablettes, les entreprises n’auront d’autre choix que d’inclure dans leur gestion cette pratique qui ne fera que s’amplifier, ne serait-ce que pour protéger leurs données confidentielles. L’adoption du BYOD invite également à s’interroger sur son influence sur les modèles traditionnels des entreprises et sur son impact sur une évolution culturelle et informationnelle. Et bien évidemment, les contrats de travail, règlements intérieurs, chartes ou codes de conduite, ou encore, la gestion quotidienne des pratiques, devront être revus pour intégrer cette nouvelle pratique propre au XXIème siècle.

Roselyn Sands, Avocate, Associée et Anissa Yeftene, Avocate chez EY Société d’Avocats