Bonnes pratiques pour sécuriser et réaffecter un smartphone ou une tablette professionnelle lorsqu’un collaborateur quitte l’entreprise
Le départ d’un salarié est un moment clé dans la vie d’une entreprise. Contrat, accès aux outils, passation… tout est généralement bien encadré. Pourtant, un point reste encore trop souvent négligé: la gestion des appareils mobiles professionnels enrôlés dans une solution de MDM.
Smartphone, tablette, terminal durci confié à un collaborateur et géré via un logiciel MDM Android tel que TinyMDM peuvent contenir des données sensibles, des accès métiers ou des configurations spécifiques. Sans processus clair, le risque est double: laisser des données confidentielles accessibles ou compliquer inutilement la réaffectation de l’appareil à un autre employé.
Voyons dans cet article quelles sont les bonnes pratiques à adopter avec TinyMDM lorsqu’un salarié quitte l’organisation, en fonction du mode d’enrôlement de l’appareil et des données qu’il contient.
Le transfert d’appareil: une fausse bonne idée
Quand un collaborateur quitte l’entreprise, la tentation peut être de simplement transférer l’appareil à un autre utilisateur en utilisant la fonctionnalité dédiée. En réalité, le transfert d’appareil n’est pas conçu pour gérer un départ de salarié.
D’une part, il s’agit d’un processus complexe qui dépend des services de Google et non de TinyMDM. Sa mise en œuvre peut prendre jusqu’à 24 heures. Cela en fait une solution peu adaptée dans un contexte où les appareils doivent être réattribués rapidement.
D’autre part, et surtout, le transfert d’appareil ne répond pas à l’enjeu principal d’un départ de salarié: la gestion des données. Cette fonctionnalité permet uniquement d’ajuster les applications en fonction de la nouvelle politique de sécurité, en supprimant les apps présentes sur la politique de sécurité de départ de l’appareil mais qui ne sont pas présentes dans la politique de sécurité d’arrivée. En revanche, il ne garantit pas la suppression des données confidentielles présentes sur l’appareil.
Dans le cadre d’un appareil professionnel réattribué à un nouveau salarié, le transfert n’est donc ni la méthode la plus sûre, ni la plus appropriée.
Les 3 cas à distinguer pour les appareils entièrement managés par l’entreprise (100% managé ou mode kiosque)
Pour les appareils professionnels entièrement managés par l’entreprise (100% managé ou mode kiosque), la marche à suivre dépend essentiellement du type de données présentes sur l’appareil.
Cas n°1: aucun contenu sensible sur l’appareil
Si l’appareil ne contient aucune donnée confidentielle, la gestion est relativement simple.
Dans ce cas, il est conseillé de renommer l’utilisateur associé à l’appareil afin de le réaffecter directement à un nouveau salarié.
L’appareil reste opérationnel et prêt à l’emploi sans manipulation lourde. Cette approche convient par exemple aux terminaux dédiés à une tâche précise, sans stockage local de données.
Cas n°2: des données sensibles uniquement dans les applications
Dans certains contextes, les données sensibles sont contenues exclusivement dans les applications mais pas dans le stockage local de l’appareil.
Dans ce cas, il est possible de supprimer les données applicatives directement depuis l’onglet Appareils de la console TinyMDM, via “Applications installées” dans le menu 
. Une fois ces données supprimées, l’appareil peut alors être réaffecté à un nouveau collaborateur en renommant l’utilisateur associé à l’appareil comme dans le cas n°1.
À noter cependant: les fichiers stockés localement sur l’appareil (photos, documents téléchargés etc) ne sont pas supprimés par cette action. Si ce type de données existe, ce cas de figure n’est plus suffisant.
Cas n°3: des données sensibles dans et hors des applications
Dès lors que l’appareil contient des données sensibles dans les applications ET des données stockées localement, la seule solution fiable est de réinitialiser complètement l’appareil, puis de le ré-enrôler dans TinyMDM en créant un nouvel utilisateur.
C’est la méthode la plus sûre pour garantir:
- L’effacement total des données de l’ancien salarié
- Un appareil remis dans un état standard et conforme
- Une réaffectation sans risque au prochain utilisateur
Les appareils utilisés pour le travail et pour la vie personnelle
Les appareils mobiles enrôlés en BYOD
Dans le cas du BYOD (Bring Your Own Device), l’appareil appartient au salarié, mais une partie professionnelle y est gérée par l’entreprise.
Lors du départ du collaborateur, la bonne pratique consiste à supprimer le profil professionnel.
Cette approche permet au salarié de continuer à utiliser son appareil normalement, tout en garantissant à l’entreprise que plus aucune donnée professionnelle ou confidentielle ne reste sur le téléphone ou la tablette Android.
Les appareils mobiles enrôlés en WPCO
Le mode WPCO (Work Profile on Company-Owned device) concerne des appareils appartenant à l’entreprise, mais autorisant un usage personnel.
Dans ce contexte, un départ de salarié implique systématiquement la présence de données professionnelles et de données personnelles liées au collaborateur.
La seule option fiable est donc de:
- Réinitialiser l’appareil
- Ré-enrôler l’appareil dans TinyMDM
Conclusion : anticiper les départs pour éviter les risques
La gestion des appareils mobiles lors du départ d’un salarié ne devrait jamais être improvisée. Elle fait partie intégrante du cycle de vie des terminaux et de la politique de sécurité de l’entreprise.
Un outil de Mobile Device Management Android comme TinyMDM permet d’adapter la bonne action au bon contexte: renommage d’utilisateur, suppression de données applicatives, suppression du profil professionnel ou réinitialisation complète.
En appliquant ce processus, les entreprises sécurisent leurs données, simplifient la réaffectation des appareils et évitent des erreurs coûteuses.