[FRsAG] Question juridique concernant l'accès aux données mobiles
Bonjour à tous, Je me tourne vers vous tout en sachant que cela ne relève pas forcément de cette liste! Je cherche des informations légales concernant l'accès possible à un terminal mobile personnel utilisé dans le cadre professionnel. Je m'explique : Une entreprise souhaite déployer des accès mobiles pour certains de ses employés, cependant elle ne souhaite pas investir dans une flotte mobile... Elle voudrait profiter des smart phones personnels des employés ! Elle va devoir procéder à la sécurisation des terminaux, et prévoir une procédure d'effacement des données et/ou du terminal en cas de perte ou de vol! Ma question est la suivante : Y a-t-il des limites juridiques à ça ? Des textes de loi empêchent-ils ce genre de procédés ? D'avance merci. Benjamin ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Question juridique concernant l'accès aux données mobiles
Le 27 avr. 2011 à 17:45, Benjamin AVET a écrit : > Bonjour à tous, > Je me tourne vers vous tout en sachant que cela ne relève pas > forcément de cette liste! > Je cherche des informations légales concernant l'accès possible à un > terminal mobile personnel utilisé dans le cadre professionnel. > > Je m'explique : > Une entreprise souhaite déployer des accès mobiles pour certains de > ses employés, cependant elle ne souhaite pas investir dans une flotte > mobile... Elle voudrait profiter des smart phones personnels des > employés ! Elle va devoir procéder à la sécurisation des terminaux, et > prévoir une procédure d'effacement des données et/ou du terminal en > cas de perte ou de vol! > > Ma question est la suivante : Y a-t-il des limites juridiques à ça ? > Des textes de loi empêchent-ils ce genre de procédés ? > > D'avance merci. > > Benjamin Bonjour, Je n'ai pas d'appui légal sur ce point précis, néanmoins il est admis (texte ou jurisprudence à chercher) que la séparation privé / entreprise est forte. L'entreprise n'a aucun pouvoir sur les équipements possédé par des tiers ... le tiers est ici une employé. Que cela soit téléphone ou ordinateur personnel, si l'entreprise décide d'imposer ses règles de sécurité et pire supprimer le contenu, que se passera t il pour les données personnelles qui dans 80% des cas ne seront pas sauvegardées correctement? C'est d'ailleurs pour éviter ce genre de conflit d'intérêt que les accès VPN SSL se sont démocratisés, il n'y a ainsi aucun logiciel spécifique à installer sur l'ordinateur personnel d'un employé. Je trouve cette pratique vraiment limite, l'entreprise pourrait le payer fort cher en cas de souci, quid après des accès data, de la perte du téléphone dans le cadre d'une activité pro, ... qui est responsable de quoi? Bon courage -- Pierre-Henry Muller ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Question juridique concernant l'accès aux données mobiles
On Thu, 28 Apr 2011 16:20:45 +0200, Pierre-Henry Muller wrote: Le 27 avr. 2011 à 17:45, Benjamin AVET a écrit : [...] Bonjour, Je n'ai pas d'appui légal sur ce point précis, néanmoins il est admis (texte ou jurisprudence à chercher) que la séparation privé / entreprise est forte. L'entreprise n'a aucun pouvoir sur les équipements possédé par des tiers ... le tiers est ici une employé. Que cela soit téléphone ou ordinateur personnel, si l'entreprise décide d'imposer ses règles de sécurité et pire supprimer le contenu, que se passera t il pour les données personnelles qui dans 80% des cas ne seront pas sauvegardées correctement? Je crois d'ailleurs que lorsque ton travail implique d'utiliser du matériel, l'entreprise est tenue de te le fournir. Je n'arrive pas à retrouver les références, mais il me semble que ca concerne tout ce qui est nécéssaire, donc ca doit couvrir l'ordi, le téléphone, et aussi l'abonnement internet et téléphonique si tu es dans l'obligation de l'avoir chez toi. C'est d'ailleurs pour éviter ce genre de conflit d'intérêt que les accès VPN SSL se sont démocratisés, il n'y a ainsi aucun logiciel spécifique à installer sur l'ordinateur personnel d'un employé. Je trouve cette pratique vraiment limite, l'entreprise pourrait le payer fort cher en cas de souci, quid après des accès data, de la perte du téléphone dans le cadre d'une activité pro, ... qui est responsable de quoi? Et si tu te fais voler ton portable par une boite concurrente, la situation peut etre salement compliquée ! Bon courage -- Pierre-Henry Muller ___ Liste de diffusion du FRsAG http://www.frsag.org/ ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Question juridique concernant l'accès aux données mobiles
Bonsoir à tous, voici les premiers éléments de réponse : Selon le Code du Travail, l'entreprise est tenue de fournir les équipements de travail *nécessaires à la sécurité et à la santé* du travailleur. (Merci Elvis Tombini). Selon la CNIL, *en aucun cas une entreprise peut obliger un employé à fournir du matériel personnel* pour réaliser sa tâche/mission/travail (mais cela n'empêche pas un quelconque dédommagement). C'est bien dans la théorie, on connait tous la pratique, surtout avec des stagiaires. Dès lors où un employé accepte d'utiliser son matériel personnel, *et qu'il a été informé en amont*, il doit se soumettre aux exigences sécurité afin que l'employeur puisse respecter son devoir de protection des données de son SI (Cf. la Loi Informatique et Liberté Chapitre 5 art. 34). A Pierre-Henry, le fait d'installer un VPN SSL n'empêche pas forcément l'accès aux données sensibles de l'entreprise. Au mieux, il orientera le voleur sur l'existence d'un service VPN dans l'entreprise ; au pire, il fournira l'accès aux données ... C'est pour cela que, même sur les terminaux professionnels, on cherche à effacer le contenu du téléphone en cas de perte ou de vol ! Cordialement Benjamin Le 28 avril 2011 17:06, Julien Gormotte a écrit : > On Thu, 28 Apr 2011 16:20:45 +0200, Pierre-Henry Muller wrote: > >> Le 27 avr. 2011 à 17:45, Benjamin AVET a écrit : >> >> [...] >>> >> >> Bonjour, >> >> Je n'ai pas d'appui légal sur ce point précis, néanmoins il est admis >> (texte ou jurisprudence à chercher) >> que la séparation privé / entreprise est forte. >> L'entreprise n'a aucun pouvoir sur les équipements possédé par des >> tiers ... le tiers est ici une employé. >> Que cela soit téléphone ou ordinateur personnel, si l'entreprise >> décide d'imposer ses règles de sécurité et pire >> supprimer le contenu, que se passera t il pour les données >> personnelles qui dans 80% des cas ne seront pas sauvegardées >> correctement? >> > > Je crois d'ailleurs que lorsque ton travail implique d'utiliser du > matériel, l'entreprise est tenue de te le fournir. > Je n'arrive pas à retrouver les références, mais il me semble que ca > concerne tout ce qui est nécéssaire, donc ca doit couvrir l'ordi, le > téléphone, et aussi l'abonnement internet et téléphonique si tu es dans > l'obligation de l'avoir chez toi. > > > C'est d'ailleurs pour éviter ce genre de conflit d'intérêt que les >> accès VPN SSL se sont démocratisés, il n'y a ainsi aucun logiciel >> spécifique à installer >> sur l'ordinateur personnel d'un employé. >> >> Je trouve cette pratique vraiment limite, l'entreprise pourrait le >> payer fort cher en cas de souci, quid après des accès data, de la >> perte du téléphone dans >> le cadre d'une activité pro, ... qui est responsable de quoi? >> > > Et si tu te fais voler ton portable par une boite concurrente, la situation > peut etre salement compliquée ! > > > Bon courage >> -- >> Pierre-Henry Muller >> >> >> >> ___ >> Liste de diffusion du FRsAG >> http://www.frsag.org/ >> > > ___ > Liste de diffusion du FRsAG > http://www.frsag.org/ > ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Question juridique concernant l'accès aux données mobiles
Salut, 2011/4/28 Benjamin AVET > Bonsoir à tous, > > voici les premiers éléments de réponse : > > Selon le Code du Travail, l'entreprise est tenue de fournir les équipements > de travail *nécessaires à la sécurité et à la santé* du travailleur. > (Merci Elvis Tombini). > Attention, le langage du droit est fourbe :-) L'article R4321-1 du code du travail dit : "L'employeur met à la disposition des travailleurs les équipements de travail nécessaires, appropriés au travail à réaliser ou convenablement adaptés à cet effet, en vue de préserver leur santé et leur sécurité." Ce qui signifie que : 1) les équipements *nécessaires* au travailleur lui sont fournis par l'entreprise ET 2) les équipements sont appropriés au travail ou adaptés ET 3) la mise à disposition des équipements a pour objectif de préserver leur santé et leur bien être (cet objectif est imposé par la loi) Je fais ça un peu vite, mais ce sont bien ces 3 conditions, appliquées simultanément qu'il convient de respecter dans le cadre de l'activité professionnelle. > Selon la CNIL, *en aucun cas une entreprise peut obliger un employé à > fournir du matériel personnel* pour réaliser sa tâche/mission/travail > (mais cela n'empêche pas un quelconque dédommagement). C'est bien dans la > théorie, on connait tous la pratique, surtout avec des stagiaires. Dès lors > où un employé accepte d'utiliser son matériel personnel, *et qu'il a été > informé en amont*, il doit se soumettre aux exigences sécurité afin que > l'employeur puisse respecter son devoir de protection des données de son SI > (Cf. la Loi Informatique et Liberté Chapitre 5 art. 34). > Tu es sûr que c'est l'article 34, à la lecture, c'est plus lié au devoir de protection des données. http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=LEGITEXT06068624&dateTexte=20110428 Dans tous les cas, bien faire attention, et demander leur avis aux partenaires sociaux s'il y en a. Ne pas savoir gérer son activité informatique (même, et surtout des stagiaires) ne sera vu avec aucune bienveillance par ces acteurs. Et je ne parle pas du responsable sécurité... ;-) > A Pierre-Henry, le fait d'installer un VPN SSL n'empêche pas forcément > l'accès aux données sensibles de l'entreprise. Au mieux, il orientera le > voleur sur l'existence d'un service VPN dans l'entreprise ; au pire, il > fournira l'accès aux données ... C'est pour cela que, même sur les terminaux > professionnels, on cherche à effacer le contenu du téléphone en cas de perte > ou de vol ! > Bien cordialement, -- Elvis > Le 28 avril 2011 17:06, Julien Gormotte a écrit : > > On Thu, 28 Apr 2011 16:20:45 +0200, Pierre-Henry Muller wrote: >> >>> Le 27 avr. 2011 à 17:45, Benjamin AVET a écrit : >>> >>> [...] >>> >>> Bonjour, >>> >>> Je n'ai pas d'appui légal sur ce point précis, néanmoins il est admis >>> (texte ou jurisprudence à chercher) >>> que la séparation privé / entreprise est forte. >>> L'entreprise n'a aucun pouvoir sur les équipements possédé par des >>> tiers ... le tiers est ici une employé. >>> Que cela soit téléphone ou ordinateur personnel, si l'entreprise >>> décide d'imposer ses règles de sécurité et pire >>> supprimer le contenu, que se passera t il pour les données >>> personnelles qui dans 80% des cas ne seront pas sauvegardées >>> correctement? >>> >> >> Je crois d'ailleurs que lorsque ton travail implique d'utiliser du >> matériel, l'entreprise est tenue de te le fournir. >> Je n'arrive pas à retrouver les références, mais il me semble que ca >> concerne tout ce qui est nécéssaire, donc ca doit couvrir l'ordi, le >> téléphone, et aussi l'abonnement internet et téléphonique si tu es dans >> l'obligation de l'avoir chez toi. >> >> >> C'est d'ailleurs pour éviter ce genre de conflit d'intérêt que les >>> accès VPN SSL se sont démocratisés, il n'y a ainsi aucun logiciel >>> spécifique à installer >>> sur l'ordinateur personnel d'un employé. >>> >>> Je trouve cette pratique vraiment limite, l'entreprise pourrait le >>> payer fort cher en cas de souci, quid après des accès data, de la >>> perte du téléphone dans >>> le cadre d'une activité pro, ... qui est responsable de quoi? >>> >> >> Et si tu te fais voler ton portable par une boite concurrente, la >> situation peut etre salement compliquée ! >> >> >> Bon courage >>> -- >>> Pierre-Henry Muller >>> >>> >>> >>> ___ >>> Liste de diffusion du FRsAG >>> http://www.frsag.org/ >>> >> >> ___ >> Liste de diffusion du FRsAG >> http://www.frsag.org/ >> > > > ___ > Liste de diffusion du FRsAG > http://www.frsag.org/ > > ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Question juridique concernant l'accès aux données mobiles
Le 28 avr. 2011 à 17:34, Benjamin AVET a écrit : > > A Pierre-Henry, le fait d'installer un VPN SSL n'empêche pas forcément > l'accès aux données sensibles de l'entreprise. Au mieux, il orientera le > voleur sur l'existence d'un service VPN dans l'entreprise ; au pire, il > fournira l'accès aux données ... C'est pour cela que, même sur les terminaux > professionnels, on cherche à effacer le contenu du téléphone en cas de perte > ou de vol ! Pour le vpn ssl je précisais que ca évite d'installer un logiciel sur l'ordinateur personnel ou si l'employé se trouve chez des amis, en déplacement dans un cyber café ou autre. Cela lui permet d'accéder aux ressources et données de l'entreprise, après ce qu'ils en font c'est une autre histoire. Le jour où une entreprise fait effacer du contenu personnel d'un terminal personnel je pense qu'on aura le droit à un beau procès et une belle jurisprudence. Comme l'a souligné Julien et Elvis l'employeur est tenu de fournir le matériel nécessaire même dans le cas du télétravail où ça devient encore plus coûteux : tel, accès internet, imprimante, ... La seule façon de contourner (et encore) c'est que les personnes soient des indépendants auxquels on demande des règles de sécurité pour accéder à certains réseaux à partir du matériel de leur propre entreprise. Mais même là si l'ordinateur doit être effacé par la première entreprise je n'ose imaginer les conséquences ... qui peuvent aller jusqu'à perte d'exploitation. -- Pierre-Henry Muller ___ Liste de diffusion du FRsAG http://www.frsag.org/
