Programmes « Apportez votre propre appareil » – nouveaux défis et nouvelles possibilités pour les organisations

À une époque où la démarcation entre la vie personnelle et la vie professionnelle s’estompe de plus en plus, le commissaire à la protection de la vie privée du Canada ainsi que les commissaires à l’information et à la protection de la vie privée de la Colombie-Britannique et de l’Alberta ont récemment publié des lignes directrices conjointes pour aider les organisations à : i) réduire les risques d’atteinte à la vie privée dans le cadre de l’accès aux données de l’employeur au moyen des appareils personnels des employés; et ii) protéger le droit à la vie privée des employés relativement aux renseignements personnels stockés sur des appareils personnels des employés.

Ces lignes directrices s’appliquent à tous les types d’appareils personnels d’employés, c’est-à-dire à l’ensemble des ordinateurs de bureau et des appareils mobiles, comme les téléphones intelligents, les tablettes et les ordinateurs portables, qui sont utilisés pour accéder aux données, aux courriels, aux communications, aux applications de même qu’aux autres processus et renseignements d’une organisation, et ont pour objectif d’aborder les questions liées : i) à l’évaluation des risques; ii) aux utilisations acceptables des appareils personnels des employés; iii) à la surveillance et à la gestion des applications exercées par une organisation; iv) au partage des appareils personnels des employés; v) à la connexion aux serveurs d’une organisation; vi) à la responsabilité à l’égard des caractéristiques de sécurité; vii) aux mises à jour des logiciels; et viii) aux forfaits voix et aux forfaits données.

De plus, les lignes directrices insistent sur le fait que les programmes « Apportez votre propre appareil » des organisations devraient prévoir des restrictions : i) aux services d’infonuagique; ii) aux appareils et aux systèmes d’exploitation; et iii) aux renseignements qui peuvent ou qui ne peuvent pas être stockés sur les appareils personnels des employés. Dans un même ordre d’idées, les lignes directrices soulignent que ces programmes devraient aborder un certain nombre de questions, notamment : a) les responsabilités de l’utilisateur; b) les utilisations acceptables et non acceptables des appareils personnels des employés; c) les exigences relatives à l’accès et à la sécurité; et d) le partage des appareils avec des parents ou des amis.

Enfin, les lignes directrices mentionnent que même si les programmes « Apportez votre propre appareil » peuvent s’inscrire dans le cadre d’une stratégie de réduction des coûts d’une organisation, l’utilisation d’appareils personnels des employés à la fois à des fins personnelles et professionnelles peut comporter des risques en matière de vie privée et de sécurité qui pourraient avoir des répercussions tant sur les renseignements personnels que sur les renseignements d’une organisation.

Par conséquent, outre ce qui précède, les lignes directrices présentent une série de mesures à étudier, notamment : i) mettre en oeuvre un logiciel de gestion des appareils mobiles qui vise à gérer les appareils personnels des employés qui se connectent au réseau de l’organisation et mettre en place des mesures d’authentification adéquates; ii) conclure, avec chaque propriétaire d’un appareil personnel utilisé à des fins professionnelles, une entente qui énonce les activités d’administration que l’organisation peut exécuter sur les appareils personnels des employés; iii) segmenter les appareils personnels des employés en deux compartiments; iv) mettre en application des procédures sur le chiffrement, le stockage et la conservation; v) se pencher sur les vulnérabilités et la protection contre les maliciels; et vi) donner une formation appropriée à l’ensemble des professionnels des technologies de l’information et des utilisateurs.