C’est le genre de phénomène auquel on ne prête pas vraiment attention au début. Avez-vous remarqué que de plus en plus d’employeurs invitent- pour ne pas dire imposent- à leurs nouveaux employés à utiliser leurs propres appareils à l’occasion d’une embauche. Ainsi dans le cadre de leur nouvel emploi, les employés utiliseront leurs propres appareils mobiles à des fins professionnelles. Dans le domaine des ressources humaines on parle même de programmes AVPA ou « apportez votre propre appareil »; en anglais, on utilise l’expression « bring your own device ». Dans bien des cas, les employés choisiront de leur propre initiative de synchroniser leurs appareils mobiles sur la boîte courriel du bureau et mélangeront bien souvent leurs courriels privés avec ceux du bureau.

Ce phénomène s’inscrit dans de grandes tendances où le télétravail prend de plus en plus de place et où le cloisonnement entre les heures de travail et les heures de loisir devient moins étanche. Cette utilisation de ressources propres à l’employé est de nature à soulever des questions relatives à la vie privée, au droit à l’image et à la protection des renseignements personnels. Du point de vue spécifique de l’employeur s’ajouteront des risques au niveau de la protection des secrets commerciaux.

Cette question a été soulevée en août 2015 par les Commissaires à la vie privée du Canada, de la Colombie-Britannique et de l’Alberta dans un document de formation et d’orientation. Dans ce document ils mettent de l’avant différents « conseils utiles » aux employeurs pour diminuer les risques liés à une telle délocalisation des données.

Mentionnons à titre d’exemple:

Élaborez une politique d’AVPA

Une politique d’AVPA devrait régir les utilisations acceptables des appareils; la surveillance exercée par l’organisation; le partage des appareils avec la famille/les amis; la gestion des applications; l’accès aux serveurs de l’organisation; ainsi que la responsabilité des fonctions de sécurité et des forfaits données-voix.

Atténuez les risques grâce à la conteneurisation

Envisagez de segmenter les appareils pour séparer les applications approuvées et les données de l’organisation de celles de nature personnelle. Les entreprises devraient pouvoir effacer à distance et en toute sécurité le conteneur où est stockée leur information si un appareil est perdu ou volé ou si un employé quitte l’organisation.

Établissez un plan au cas où les choses tourneraient mal

Ayez un processus de gestion des incidents en bonne et due forme énonçant clairement les attentes et les responsabilités afin que les incidents liés à la sécurité ou les atteintes à la vie privée soient détectés, circonscrits, déclarés, examinés et corrigés rapidement et selon une approche uniforme. Tenez à jour une liste des appareils mobiles et des applications autorisés dans le cadre du programme AVPA. Cette liste est particulièrement utile pour atténuer les dommages en cas de perte ou de vol d’un appareil.

Enfin il faut souligner que les employeurs ont de nouvelles obligations de notification découlant de la sanction royale accordée à Loi sur la protection des renseignements personnels numériques qui les obligent à notifier le commissaire à la vie privée des atteintes à la protection des données qui présentent un risque réel de préjudice grave à l’endroit d’un individu. Ainsi un programme AVPA bien rédigé et complet devra comprendre un processus de gestion des incidents liés à la sécurité ou à la gestion des atteintes à la vie privée.

Il est intéressant de noter que plusieurs fournisseurs internet proposent aux employeurs des services visant la gestion globale de la mobilité de leurs employés (essentiellement des logiciel de gestion des appareils mobiles (GAM)) en insistant sur les mesures de sécurité et de protection des réseaux à la lumière des défis engendrés par cette forme de décentralisation des outils de travail.

La politique AVPA de l’entreprise viendra donc se rajouter à celle concernant les outils de travail fournis par l’employeur à l’employé. Dans le sens inverse, la politique AVPA viendra encadrer l’utilisation des outils personnels à des fins professionnelles pour assurer une protection adéquate des droits de toutes les parties en cause. Vous avez besoin de conseil, informez-vous !

L’information contenue dans cette infolettre peut être de nature juridique, mais  ne constitue pas un avis juridique.