BYOD: Utilisation professionnelle d’un smartphone privé
Roland Mathys, ic.iur., lic.oec.publ., LL.M. (LSE)
Roland Mathys est partenaire et avocat chez Schellenberg Wittmer AG, l'un des principaux cabinets d'avocats d'affaires de Suisse. Il a étudié l'informatique de gestion et le droit et exerce depuis 2000 en tant qu'avocat dans le domaine du droit des technologies de l'information (TI), où il a également suivi des études post-grades à Londres. Ses principaux domaines d'activité sont l'externalisation des TI, la protection des données, la conformité des TI et la conduite de procès dans le domaine des TI.
Aides de travail appropriées
Conflits potentiels
L'employeur a besoin de réglementer l'utilisation professionnelle d'appareils tels que les téléphones portables ou les tablettes, indépendamment de la personne à qui ils appartiennent. Le travailleur, quant à lui, attend de pouvoir disposer librement de son propre appareil. Ces intérêts contradictoires recèlent un potentiel de conflit qu'il convient de minimiser.
Caractère facultatif et réglementation du BYOD
Actuellement, peu de contrats de travail prévoient explicitement une quelconque réglementation sur le « Bring Your Own Device ». Il n'existe donc souvent ni une obligation pour l'employeur de proposer un programme BYOD, ni une obligation pour le travailleur d'y participer. Lorsqu'un employeur souhaite recourir au «Bring Your Own Device» de manière généralisée (par exemple pour une organisation de piquet), cela dépasse sa compétence en matière de directives. C'est pourquoi la participation au BYOD devrait, si possible, rester volontaire. Au lieu de recourir à la contrainte, les employeurs feraient mieux de miser sur des mesures d'incitation (par exemple, des dispositions conciliantes en matière de prise en charge des coûts et de responsabilité) s'ils entendent mettre en place un BYOD.
Lorsqu'un travailleur utilise son propre appareil à des fins professionnelles sans réglementation explicite à ce sujet et que l'employeur le sait et le tolère pendant une longue période, le travailleur peut, dans certaines circonstances, revendiquer ultérieurement une participation aux frais. De plus, il existe des risques de responsabilité de part et d'autre. Il est donc recommandé de régler le «Bring Your Own Device» dans le cadre d'un règlement consacré ou dans un avenant au contrat de travail.
Prise en charge des coûts
Dans le cadre d'un rapport de travail, l'employeur doit en principe mettre à disposition les moyens de travail. Il doit également rembourser intégralement au travailleur les dépenses professionnelles nécessaires (frais). Dans le cas du «Bring Your Own Device», il convient de faire la distinction suivante:
- Coûts d'acquisition: si un travailleur achète un smartphone à des fins privées, l'employeur ne doit en principe pas participer aux coûts d'acquisition, même si l'appareil est utilisé en partie à des fins professionnelles; en effet, le travailleur aurait de toute façon acquis le smartphone et celui-ci ne devient pas plus rapidement obsolète en raison de l'utilisation professionnelle qu'il en fait.
- Frais récurrents: l'employeur doit prendre en charge tous les frais occasionnés par l'utilisation professionnelle (remboursement des dépenses). En font partie les coûts variables de connexion et de données résultant de l'utilisation professionnelle ainsi que, le cas échéant, les coûts des options supplémentaires achetées pour maintenir les coûts de connexion et de données à un niveau bas dans l'intérêt de l'employeur (par exemple, des paquets de données pour l'itinérance internationale).
Pour des raisons de praticabilité, il est recommandé de régler explicitement la prise en charge des frais et de compenser les frais remboursables par un forfait de frais plutôt généreux. Celui-ci doit couvrir entièrement les dépenses effectives, ce qui peut nécessiter des forfaits de frais différenciés (en fonction du profil du poste).
Responsabilité
Le «Bring Your Own Device» peut soulever des questions de responsabilité tant du côté de l'employeur que du travailleur. Celles-ci sont évaluées selon qu'une partie a commis une faute ou qu'un dommage est survenu sans qu'il y ait eu faute:
- Responsabilité en cas de faute: l'employeur et le travailleur sont responsables des dommages qu'ils ont causés par leur faute en raison de la relation de travail. Cela vaut en principe indépendamment du fait qu'un BYOD soit utilisé ou non. Par exemple, l'employeur est responsable s'il n'a pas pris de mesures de sécurité adéquates sur le lieu de travail pour éviter le vol.
- Prise en charge des dommages en l'absence de faute: en règle générale, les dommages causés à un appareil sans qu'il y ait eu faute de la part de la partie concernée (c'est-à-dire celle à qui appartient l'appareil) doivent être supportés par cette dernière. Si un appareil est endommagé dans le cadre d'un BYOD, la question se pose toutefois de savoir si l'employeur ne devrait pas prendre en charge (au moins partiellement) les dommages subis - après tout, il profite du fait que le travailleur utilise également l'appareil à des fins professionnelles. A mon avis, une participation de l'employeur à la prise en charge du dommage se justifie lorsque le travailleur a emporté un appareil au travail spécifiquement en vue d'une utilisation professionnelle (par exemple, un ordinateur portable pour une présentation à un client). En revanche, si le dommage survient dans le cadre d'une utilisation privée, la responsabilité de l'employeur ne coule pas vraiment de source.
Pour autant que l'on puisse en juger, les tribunaux suisses n'ont pas eu à se prononcer sur cette question jusqu'à présent. En raison de l'incertitude qui subsiste, il est recommandé d'adopter une réglementation plutôt favorable aux employés, notamment afin de ne pas compromettre l'acceptation du BYOD.
Recommandations de produits
Restrictions d’utilisation
Les employeurs limitent systématiquement l'utilisation privée de l'infrastructure informatique de l'entreprise. Dans le cas du «Bring Your Own Device», où les appareils sont achetés en premier lieu à des fins privées, de telles «acceptable use-policies» ne doivent toutefois pas être adoptées sans examen ; au lieu de cela, l'attention devrait être portée en premier lieu sur la sécurité informatique.
L'employeur a tout intérêt à protéger les données professionnelles contenues dans l'appareil privé contre tout accès non autorisé. Le travailleur doit donc tolérer les obligations et les règles de comportement liées à la sécurité (par ex. des écrans de verrouillage automatique comprenant un mot de passe renforcé ou l'interdiction d'installer des applications non officielles). En revanche, les règles de comportement à connotation purement morale (par exemple l'interdiction de certaines catégories de sites web ou d'applications) peuvent entrer en conflit avec les droits de la personnalité et de propriété du travailleur. De telles règles sont donc très souvent problématiques.
Protection des données
Les données personnelles comprennent toutes les données qui peuvent être attribuées à une personne. Les smartphones et autres appareils privés similaires ne sont généralement utilisés que par une seule personne, de sorte que toutes les données qu'ils contiennent constituent en principe des données personnelles.
Dans le cadre de la législation sur la protection des données, il convient de prendre des mesures techniques et organisationnelles appropriées afin de garantir les droits des travailleurs en matière de données et d'assurer leur sécurité. Il est donc nécessaire de séparer les données professionnelles des données privées.
Le droit du travail impose également des exigences accrues en matière de traitement des données personnelles du travailleur : l'employeur ne peut pas traiter ces données comme bon lui semble (p. ex. les collecter, les copier, les modifier ou les effacer), il le peut uniquement dans la mesure où elles sont absolument nécessaires dans le cadre des rapports de travail. Un traitement plus poussé n'est justifié que si les intérêts dignes de protection de l'employeur ou de tiers l'emportent clairement ou si une loi le prévoit.
Ce que cela signifie concrètement n'est pas encore très clair et dépend fortement des circonstances entourant chaque cas. Il serait par exemple inadmissible qu'un employeur installe une application sur les smartphones de tous ses employés afin d'enregistrer leurs faits et gestes 24 heures sur 24. En revanche, si un cabinet d'avocats souhaite effacer à distance les données contenues dans le smartphone perdu d'un avocat (afin de préserver le secret professionnel), on peut plutôt supposer qu’un tel employeur y aurait un intérêt prépondérant. Indépendamment de cela, un travailleur peut exceptionnellement consentir à un traitement plus poussé de ses données personnelles si c'est (aussi) dans son propre intérêt.
Dans un arrêt d'août 2021, le Tribunal fédéral a notamment décidé qu'un employeur ne pouvait pas accéder aux données privées d'un travailleur qui se trouvaient sur un téléphone portable professionnel qu'il avait mis à disposition et que ce dernier utilisait également à des fins privées, à sa connaissance ou avec son accord. Du point de vue de la protection des données, il n'est donc pas nécessairement décisif de savoir si un smartphone est mis à disposition par l'employeur (comme dans l'arrêt du Tribunal fédéral mentionné) ou par le travailleur (BYOD), mais plutôt si le travailleur utilise également l'appareil à des fins privées, alors que l'employeur en a connaissance ou tolère une telle utilisation. Lorsqu'un employeur souhaite disposer d'un droit de regard aussi large que possible sur les données se trouvant sur un appareil professionnel, il est donc bien avisé d'interdire ou en tout cas d'en limiter l'utilisation privée.
En résumé
Le «Bring Your Own Device» peut présenter des avantages pour toutes les parties concernées. Son introduction soulève toutefois diverses questions juridiques. Une politique BYOD bien pensée permettra toutefois de désamorcer la plupart des problèmes susceptibles de se poser.
