Voici le sixième article de notre série portant sur les dix principaux enjeux pour les employeurs.

APERÇU

La pratique « apportez votre propre appareil » (AVPA) adoptée en milieu de travail connaît une popularité sans précédent. En effet, les employés sont de plus en plus nombreux à utiliser leurs propres appareils mobiles pour se brancher aux réseaux des entreprises. Ils ont des attentes raisonnables en ce qui a trait au respect de leur vie privée sur les appareils mobiles qu’ils utilisent dans le cadre du programme AVPA. Cependant, ces attentes ne devraient pas être sans limite. Il est important d’établir un juste équilibre entre les attentes des employés quant au respect de leur vie privée et les besoins organisationnels légitimes des employeurs, relativement à la gestion et au contrôle de leur information de nature commerciale.

MISE EN ŒUVRE D’UN PROGRAMME AVPA

L’employeur qui met en œuvre un programme AVPA s’assurera en général d’y joindre une politique AVPA prévoyant ses pratiques et attentes, pour ce qui est de l’utilisation des appareils mobiles personnels pour le travail. Il devra, comme pour tout nouveau programme ou toute nouvelle politique, tenir compte des autres politiques de l’entreprise et veiller à ce que celle du programme AVPA s’y intègre bien. Cela peut comprendre les politiques sur l’accès à distance à partir d’ordinateurs personnels, les téléphones intelligents « appartenant à l’entreprise », la conservation de documents, l’utilisation acceptable du réseau de l’employeur, la conformité et l’éthique, les suspensions en cas de litige, les médias sociaux, le harcèlement et la discrimination ainsi que les politiques sur le respect de la vie privée des employés.

PORTÉE D’UN PROGRAMME AVPA

Les employeurs devraient déterminer les appareils qui seront visés par le programme AVPA et les personnes qui auront le droit d’y participer. Ils devraient également prévoir le nombre d’appareils que chaque participant peut avoir dans le cadre du programme AVPA, le processus d’approbation qui s’appliquera à ceux qui souhaitent y participer, le soutien qu’offrira l’employeur à l’égard des appareils et à leurs utilisateurs et, évidemment, les aspects financiers du programme AVPA. De plus, les employeurs peuvent déterminer s’ils offriront ou non un appareil de rechange appartenant à la société aux employés qui ne souhaitent pas participer au programme AVPA. Ils auraient aussi intérêt à tenir un inventaire à jour des appareils visés par le programme afin de pouvoir vérifier où se trouvent leurs données et leur information de nature commerciale.

CONSIDÉRATIONS LIÉES AU RESPECT DE LA VIE PRIVÉE

Au Canada, les droits liés à la protection de la vie privée sont reconnus par les diverses lois, la common law et la jurisprudence arbitrale qui imposent aux employeurs des obligations variant selon la nature de leurs activités et la province ou le territoire d’emploi. En règle générale, la cueillette, l’utilisation et la divulgation de renseignements personnels d’employés sont assujetties à certaines restrictions. Voici les lignes directrices que devraient suivre les employeurs :

  • Limitation de la collecte. Mettez en œuvre des méthodes technologiques et autres visant à limiter la collecte de renseignements personnels d’employés qui ne sont pas liés aux activités de l’entreprise, à partir de l’appareil mobile personnel. Trouvez des moyens de séparer les données commerciales des données personnelles sur l’appareil.
  • Limitation de la divulgation. Seul le personnel autorisé devrait avoir accès aux renseignements personnels recueillis sur les appareils mobiles. Des mesures de sécurité devraient être mises en place afin de limiter les divulgations involontaires ou non autorisées de renseignements personnels. De plus, dans les politiques, les employeurs devraient indiquer aux employés à qui l’information sera communiquée, par exemple aux organismes d’application de la loi lorsqu’une violation de la loi est soupçonnée.
  • Consentement et avis. Dans le cadre d’un programme AVPA, les employeurs installent habituellement sur les appareils personnels un logiciel leur permettant d’accéder, entre autres, aux données commerciales s’y trouvant. L’appareil n’appartenant pas à l’organisation, le droit d’accès ou de surveillance d’un employeur par rapport à un appareil mobile peut être restreint. Il est donc important d’obtenir le consentement exprès des employés et de les aviser par écrit des motifs de la collecte, de l’utilisation et de la divulgation des données se trouvant sur l’appareil. En outre, le consentement et l’avis sont exigés si l’employeur souhaite effacer à distance ou autrement les données sur l’appareil, notamment parce que ces fonctions peuvent aussi supprimer les renseignements et les biens personnels de l’employé.
  • Attentes quant au respect de la vie privée. Les employés devraient savoir quelles peuvent être leurs attentes quant au respect de la vie privée lorsqu’ils utilisent un appareil mobile personnel visé par la politique AVPA ainsi que le type de surveillance que l’employeur effectuera et à quelles fins. Pour bien répondre aux attentes des employés en ce qui a trait au respect de la vie privée, de même qu’à l’exigence relative au consentement, l’employeur doit être bien clair – non seulement dans ses politiques, mais également dans ses pratiques – et préciser dans quelles circonstances et à quelles fins il peut surveiller les appareils des employés et ce qu’il peut faire avec l’information dont il dispose, qu’il consulte ou recueille.

CONSIDÉRATIONS LIÉES À LA SÉCURITÉ

Le programme AVPA d’un employeur doit tenir compte des exigences ou des pratiques en matière de sécurité s’appliquant aux appareils visés et aux utilisateurs participants. L’objectif principal est d’assurer la confidentialité de l’information de nature commerciale de l’employeur tout en protégeant les renseignements personnels que l’organisation a en sa possession ou dont elle a le contrôle.

  • Contrôles de sécurité. Les employeurs devront choisir les protocoles d’authentification qu’ils appliqueront aux appareils visés et aux utilisateurs participants, les protocoles de chiffrage de données qui devraient être exigés et les mesures de protection antivirus qui devraient être implantées.
  • Restrictions relatives aux applications. Les employeurs doivent décider des contrôles et des restrictions qui sont appropriés à l’égard des applications utilisées par les utilisateurs participants à des fins professionnelles.
  • Restrictions applicables au nuage (cloud). Les employeurs doivent savoir sur quels « nuages » leurs renseignements commerciaux se trouvent et si l’information sur ces nuages est assujettie à des mesures de sécurité raisonnables appropriées, compte tenu de la nature de l’information qui y est stockée et des obligations juridiques de l’employeur, soit en vertu de la loi ou aux termes d’un contrat.
  • Copies de sauvegarde. Comme les appareils des employés contiennent tant de l’information que des biens personnels (photographies, musique, etc.), il est important de se pencher sur la question des copies de sauvegarde et de déterminer si toutes les données se trouvant sur les appareils peuvent être sauvegardées sur un ordinateur ne faisant pas partie de l’organisation.

MISE EN ŒUVRE

Les employeurs qui mettent en œuvre un programme AVPA ou embauchent de nouveaux employés devraient offrir une formation sur la politique et demander aux employés de signer un formulaire de consentement ou une attestation. Une politique AVPA aura très peu d’impact ou de force d’application si les employés ne sont pas au courant de son existence et qu’on ne leur offre pas de formation ou d’explications quant à ses modalités et conditions. En outre, comme pour toute autre politique, les employeurs devraient préciser dans la politique les mesures disciplinaires et autres qui pourraient être prises si un employé ne se conforme pas aux exigences qui y sont énoncées, et l’appliquer de façon uniforme à tous les employés participant au programme AVPA.