RGPD et gestion de la flotte mobile

La complexité et le nombre de cas d’utilisation des terminaux mobiles (portables, tablettes, etc.) continuent d’accroître. Les données issues du mobile constituent une arme à double tranchant. L’utilisation des portables fournit instantanément des informations précieuses et une connectivité constante qui permet aux collaborateurs de s’acquitter de leurs missions en tous lieux. D’un autre côté, les données mobiles sont la cible privilégiée de logiciels malveillants développés spécialement pour ce type des terminaux. En ce sens, le risque est d’autant plus important que, depuis quelques années, l’usage des supports mobiles dépasse celui des bons vieux ordinateurs.

Les entreprises, en fonction de leurs besoins et des spécificités de leur secteur structurent leurs propres pratiques en matière d’utilisation des terminaux mobiles. On distingue ainsi le BYOD (Bring Your Own Device), le COBO (Company Owned, Business Only), le COPE (Corporate Owned, Personally Enabled) et le CYOD (Choose Your Own Device). Pour sécuriser les usages, de nombreux prestataires proposent des solutions clé en main de Mobile DeviceManagement (MDM) pour encadrer l’utilisation de ces terminaux et apporter à l’employeur des garanties de confidentialité nécessaires.

Une solution MDM permet de gérer, sécuriser et surveiller la flotte d’appareils mobiles des salariés. Les équipes, notamment IT, peuvent encadrer les usages qui sont faits des supports mobiles : interdiction de télécharger des applications des sites web non-officiels, verrouillage des terminaux en cas d’utilisation non-sécurisée, effacement à distance des données en cas deperte ou de vol, etc.

Si la mise en place des solutions MDM favorise le respect de l’obligation de sécurité prévue par le Règlement Général sur la Protection des Données (RGPD), le contrôle de l’utilisation des mobiles est susceptible de porter atteinte à la protection de la vie privée et des données personnelles des salariés. Pour cette raison, l’implication du Délégué(e) à la protection des données (DPD ou Data Protection Officer, DPO) à chaque étape du déploiement d’une solution MDM et la collaboration étroite de ce dernier avec les équipes IT est indispensable.

Le DPD doit ainsi être consulté en amont sur la compatibilité de la solution MDM et de son paramétrage avec la réglementation, mais surtout avec la politique de l’entreprise. À la lumière des types de traitements pour lesquels la CNIL a estimé obligatoire la réalisation d’une analyse d’impact relative à la protection des données (AIPD) qui englobe les dispositifs de Data Loss Prevention, la conception d’une AIPD semble au bas mot une bonne pratique.Dans ce contexte, le DPD doit notamment s’assurer que la solution MDM respecte le principe de limitation des finalités et ne constitue pas un moyen déguisé de surveiller les salariés. De même, il est utile de vérifier à cette étape l’étendue de l’application de la solution MDM. Par exemple, si cette dernière s’applique autant aux usages professionnels que personnels, le DPOpourra favoriser la prise en compte du droit à la déconnexion…

Tout en accompagnant la compatibilité du MDM avec le RGPD, le DPD doit également intervenir en aval pour déterminer la base légale du traitement, informer les salariés et faciliter l’exercice des droits des personnes.

De cette manière, l’intervention du DPO en support des équipes IT dans des projets comme le MDM contribue à l’intégration de l’obligation « d’accountability » dans le déploiement des projets IT ainsi que la jonction des approches de « security by design » et « privacy by design ». Au-delà de la conformité RGPD, l’intervention du DPD s’avère être une garantie etun instrument de validation du projet auprès des salariés. Une fois les collaborateurs rassurés, ils seront également plus enclins à se servir des outils mis à leur disposition par leur employeur.