L’utilisation d’outils personnels dans le cadre professionnel

L’utilisation d’outils professionnels à des fins personnelles ou dans le cadre de la vie privée est bien connue ; elle provoque en général la réintégration d’avantages en nature dans le bulletin de paie du salarié.

Mais qu’en est-il de l’inverse, à savoir l’utilisation à titre professionnel de matériel personnel et privé appartenant au salarié comme un simple smartphone ?

État des lieux

Le BYOD (pour "Bring Your Own Device"), n'est pas ou très peu encadré à ce jour par la règlementation française. En fait, il n'a pas de cadre légal, ce qui signifie que rien ne s'y oppose pour autant.

La CNIL (Commission Nationale Informatique et Libertés), bien que prudente sur le sujet du BYOD, n'hésite pas à conseiller les employeurs qui le souhaitent sur les enjeux du BOYD. Il est donc possible d'anticiper les problématiques qu'il soulève et d’obtenir des moyens matériels et légaux nécessaires pour son introduction dans l'entreprise.

Le sujet reste néanmoins particulièrement sensible ; c’est la raison pour laquelle nous avons essayé de recenser ci-après quelques principes et obligations afférents à la mise en place de cette nouvelle organisation du travail dans l'entreprise.

L’utilisation limitée des outils personnels dans le cadre professionnel

Le droit du travail impose à l'employeur de fournir à ses employés les moyens nécessaires à l'exécution de leurs tâches, c'est-à-dire leurs outils de travail (notamment téléphone fixe ou portable pour des salariés amenés à passer des appels téléphoniques dans l'exercice de leurs fonctions).

L'utilisation d'outils informatiques personnels à des fins professionnelles ne permet pas à l'employeur de s'affranchir de cette obligation. Il doit donc toujours fournir lui-même les outils de travail du salarié sous peine de manquer à son obligation d'exécution de bonne foi du contrat de travail.

S'il s'agit de matériel non obligatoire, l'employeur pourra demander au salarié d'apporter son matériel personnel. Ce dernier sera néanmoins en droit de refuser.

La sécurité des données

L'employeur est responsable de la sécurité des données personnelles de ses salariés dès lors qu'il a autorisé leur utilisation pour accéder aux ressources informatiques de l'entreprise, et ce, même si elles sont stockées sur des terminaux dont il n'a pas la maitrise physique ou juridique.

L'employeur devra donc se prémunir de l'atteinte ponctuelle à la disponibilité des données, à leur intégrité et/ou à leur confidentialité en mettant en place des moyens matériels destinés à assurer la sécurité des données (par exemple compartimenter, grâce à des moyens techniques, le téléphone du salarié pour chaque utilisation, privée et professionnelle, afin de permettre à l'employeur d'être maitre des données de la partie professionnelle du téléphone et de pouvoir, en cas de nécessité, les effacer à distance).

Dans le cas contraire, un salarié sortant pourra potentiellement partir avec des listes de numéros de clients ou prospects ou toute autre donnée sensible ou confidentielle récupérée automatiquement lors du téléchargement d'une pièce jointe d'un email à caractère professionnel, stockée dans la mémoire interne de l’outil, propriété du salarié.

Sécurité du système et respect de la vie privée

L'employeur ne peut prévoir des mesures de sécurité ayant pour objet ou pour effet d'entraver l'utilisation de leur téléphone portable dans un cadre privé pour les salariés au motif que celui-ci peut être utilisé pour accéder aux ressources de l'entreprise (notamment interdire la navigation internet ou le téléchargement d'applications mobiles).

L'employeur ne peut pas non plus accéder à des éléments relevant de la vie privée du salarié stockés dans son smartphone.

Il est donc indispensable de pouvoir, par des moyens techniques (type compartimentation), distinguer l'espace privé de l'espace professionnel sur le téléphone du salarié.

La consultation obligatoire des IRP

Le fait pour les salariés d'utiliser leur téléphone portable personnel à des fins professionnelles constitue un changement dans la manière d'appréhender l'organisation du travail dans l’entreprise, raison pour laquelle les institutions représentatives du personnel (IRP) si elles existent dans l'entreprise, devront être consultées avant le déploiement de cette nouvelle organisation. Les salariés devront eux aussi être informés de ce déploiement. Plusieurs textes du Code du travail peuvent servir de fondement à l'obligation de consultation des IRP.

L'article L.2323-29 du Code du travail énonce que le comité d’entreprise doit être informé et consulté préalablement à tout projet important d'introduction de nouvelles technologies lorsqu'elles sont susceptibles d'avoir des conséquences sur l'emploi, la qualification, la rémunération, la formation ou les conditions de travail.

L'article L.4612-9 prévoit, quant à lui, que le comité d’hygiène et de sécurité et des conditions de travail (CHSCT) doit être consulté sur les conséquences du projet d'introduction de nouvelles technologies sur la santé et sécurité des travailleurs. Le texte rajoute que dans les entreprises dépourvues de CHSCT, les délégués du personnel, ou à défaut les salariés, sont consultés.

La déclaration Cnil obligatoire

Une déclaration normale auprès de la Cnil devra être effectuée dans le cadre de la mise en œuvre de cette nouvelle organisation.

Celle-ci ne sera toutefois pas nécessaire si l'entreprise dispose d'un correspondant informatique et libertés (CIL) ou si elle a déjà effectué une déclaration normale de gestion du personnel incluant le traitement de données personnelles pour assurer la sécurité et le bon fonctionnement des systèmes d'information.

La nécessité de donner un cadre à cette nouvelle organisation

L'entreprise a tout intérêt à organiser et prévoir les règles d'utilisation du téléphone portable personnel du salarié pour un usage professionnel via le règlement intérieur, la charte informatique, un accord d'entreprise ou directement dans le contrat de travail du salarié.

Les règles existantes contenues le cas échéant dans le règlement intérieur ou dans la charte informatique devront être complétées afin de prendre en compte les nouveaux enjeux du BYOD liés à la sécurité et aux conséquences de son introduction dans l'entreprise sur la vie privée des salariés.

L'aspect financier du BYOD

En l'absence de cadre légal, la question de la contrepartie financière destinée à compenser l'utilisation professionnelle du terminal personnel du salarié relève de l'appréciation de l'entreprise.

S'agissant du traitement de l'indemnité versée, il est difficile de se prononcer en l'absence de règles ou lignes directrices des Urssaf sur la question, mais à tout le moins, de façon générale, celles-ci considèrent que le remboursement d'un matériel personnel par l'entreprise constitue un avantage en nature soumis à cotisations.

Sauf à justifier en détail lors d'un contrôle le cout du BYOD pour l'entreprise, le cadre de sa mise en place et les couts pour le salarié (prix du forfait notamment), il est préférable de ne rembourser au salarié que la part des communications professionnelles calculée le plus précisément possible.

La question des couts de la maintenance du terminal (software et hardware) et de l'assurance doivent également être prises en compte dans la réflexion relative à l'introduction ou non du BYOD dans l'entreprise.

Pour conclure, pour tous les points soulevés, l'introduction du BYOD ne peut se faire à la légère et peut être autant un avantage pour l'entreprise et les salariés qu'un inconvénient s'il est mal déployé.

Suivez-nous !