Les commissaires à la protection de la vie privée publient des lignes directrices conjointes sur les programmes Apportez votre propre appareil

Écrit par Martin P.J. Kratz, QC, Michael R. Whitt, QC, Stephen D. Burns, J. Sébastien A. Gittens and Graeme S. Harrison

Les renseignements d’une organisation peuvent être mis en danger lorsque le personnel commence à apporter ses propres appareils et à les utiliser en milieu de travail. Par conséquent, dans de tels cas, une organisation devrait envisager d’adopter un programme approprié « apportez votre propre appareil » (BYOD) pour tenter de gérer les risques inhérents à une telle activité.

En règle générale, un programme BYOD permet aux employés d’une organisation d’utiliser leurs appareils mobiles personnels à des fins personnelles et professionnelles. Une question de seuil pour une organisation est de considérer quels appareils peuvent être inclus dans une politique BYOD, car la société est passée bien au-delà des téléphones intelligents à toutes sortes d’appareils portables qui peuvent capturer, traiter et afficher les informations confidentielles d’une organisation et les informations personnelles de son personnel et de ses clients. Bien qu’il y ait de nombreux avantages à un programme BYOD (p. ex., une augmentation de la satisfaction et de la productivité des employés), les organisations devraient évaluer les divers risques inhérents associés à la mise en œuvre et à l’utilisation d’un programme BYOD, et prendre des mesures raisonnables pour atténuer ces risques.

À l’appui de ce processus, le Commissariat à la protection de la vie privée du Canada, de concert avec ses homologues provinciaux de l’Alberta et de la Colombie-Britannique, a récemment publié un nouveau document d’orientation conjoint (Le programme « Apportez votre propre appareil » (BYOD) est-il le bon choix pour votre organisation?) qui met en évidence divers risques clés en matière de protection de la vie privée et de sécurité qui devraient être pris en compte lors de la prise de décisions concernant un programme BYOD. Voici un bref résumé de quelques-unes de ces considérations :

• Effectuer une évaluation des facteurs relatifs à la vie privée (EFVP) et une évaluation de la menace et des risques (EMR) : La réalisation d’une ÉFVP et d’une EMR aidera à cerner et à gérer les risques associés à la collecte, à l’utilisation, à la communication, au stockage et à la conservation des renseignements personnels. Ces évaluations peuvent amener une organisation à restreindre l’utilisation d’applications avec, par exemple, des services cloud.
• Élaborer, communiquer, mettre en œuvre et appliquer une politique propre à la BYOD : Il est essentiel d’établir les obligations et les attentes des utilisateurs de byod pour prévenir les menaces à la vie privée et à la sécurité. Les organisations sont encouragées à travailler avec les services internes, tels que la technologie de l’information, la gestion de l’information, les services juridiques, les finances et les ressources humaines, afin d’élaborer une politique BYOD exécutoire et facile à comprendre. Une telle politique devrait aborder des questions telles que les responsabilités des utilisateurs, les utilisations acceptables et inacceptables des dispositifs BYOD, la gestion des applications et les demandes d’accès.
• Atténuer les risques grâce à la conteneurisation : La conteneurisation fait référence à la compartimentation des informations d’entreprise d’une organisation à partir de toute autre information qui peut résider sur l’appareil mobile d’un employé. Le fait d’entreprendre ce processus crée une division claire quant à ce qui est assujetti à la politique byod d’une organisation et ce qui ne l’est pas.
• Officialiser un processus de gestion des incidents BYOD : Malgré tous les efforts déployés pour faire face à tous les risques en matière de protection de la vie privée et de sécurité, les organisations doivent être conscientes que des vulnérabilités continueront d’exister. En cas d’atteinte à la vie privée ou à la sécurité, les organisations devraient donc avoir un processus de gestion des incidents en place pour aider à l’identification, au confinement, au signalement, à l’enquête et à la correction de cette atteinte en temps opportun.
• Tenir un inventaire : Afin de réduire au minimum les menaces à la vie privée et à la sécurité, les organisations devraient tenir à jour un inventaire des appareils et des applications mobiles autorisés participant à leur programme BYOD respectif. La tenue d’un tel inventaire aidera une organisation à, entre autres, prendre les mesures appropriées lors d’une intervention en cas d’incident.

Les employés dont les appareils mobiles personnels sont mal sécurisés mettent en danger tous les renseignements sur l’appareil mobile, y compris les renseignements confidentiels de l’organisation. Ainsi, une organisation peut subir un préjudice important, y compris une perte financière, une perte d’avantage concurrentiel et / ou une atteinte à sa réputation, si un tel appareil est perdu, volé, jailbreaké ou enraciné.

Cela ne signifie pas qu’une organisation doit éviter un programme BYOD. De plus en plus de personnel exige de tels programmes, de sorte que cela peut devenir un problème de recrutement et de maintien en poste. Cependant, l’organisation devrait chercher à créer un environnement sûr où les avantages d’un programme BYOD peuvent être appréciés, et où les risques sont minimisés, en : (i) mettant en place des politiques BYOD appropriées et appropriées; ii) éduquer les utilisateurs sur ces politiques; (iii) superviser la conduite de l’utilisateur en vertu des politiques; et iv) la mise en œuvre de mesures techniques appropriées à l’appui de ces politiques.

Si votre organisation a besoin d’aide avec son programme BYOD, n’hésitez pas à contacter un membre de l’équipe de confidentialité de Bennett Jones.

Télécharger le PDF