Mon employeur peut-il accéder à mes données personnelles si un MDM gère mon smartphone

La protection des données de votre entreprise est plus importante que jamais, et cette protection commence par les appareils qui utilisent et stockent ces données. Quel que soit l’appareil et son propriétaire, il est de plus en plus difficile de garantir la sécurité des données de l’entreprise à mesure que le monde du travail hybride s’installe. À mesure que la flexibilité se répand dans nos effectifs, l’éventail des appareils utilisés évolue et, aujourd’hui plus que jamais, il apparait que de plus en plus de personnes effectuent une partie de leur travail à partir d’un téléphone portable.

Bien que ce phénomène ne soit pas nouveau, les défis qu’il pose sont plus importants que jamais. Alors que le téléphone de travail régnait autrefois en maître, l’utilisation accrue du BYOD (Bring-Your-Own-Device) a provoqué une réaction négative à l’égard du MDM (Mobile Device Management) classique, de nombreux employés ne souhaitant pas inscrire leur appareil personnel dans une telle solution.

C’est exactement pour cela que la confiance joue un rôle important à cet égard, tant du point de vue de l’employé que de l’employeur. De nombreux employés n’ont pas confiance dans la solution MDM de leur entreprise, car ils s’inquiètent de la confidentialité et du contrôle de leurs appareils personnels. Du point de vue de l’employeur, il doit y avoir un niveau de contrôle sur les données organisationnelles, quel que soit l’appareil. Cela pose un problème : l’entreprise doit-elle bloquer l’accès aux appareils BYOD non inscrits ? Si une organisation décide d’autoriser les appareils mobiles personnels, comment peut-elle protéger les données qui pourraient s’y trouver ?

Votre employeur est autorisé à surveiller ses salariés pendant leur temps de travail ou sur leur lieu de travail. Il a par exemple un droit d’accès aux documents papiers professionnels (même dans des tiroirs fermés), et également au matériel informatique utilisé dans le cadre du travail. En revanche, il existe des restrictions énoncées par l’article 9 du Code civil qui protège le droit au respect de la vie privée: la mise en place de caméras de surveillance sans avertir les salariés, les écoutes téléphoniques à l’insu des salariés… Et la surveillance de tout ce qui appartient à la sphère privée de l’employé.

A la différence des périphériques mobiles appartenant à l’entreprise, entièrement managés à distance par l’administrateur informatique qui peut voir leur position géographique, accéder à l’historique de navigation internet, et restreindre les applications autorisées; les appareils personnels en mode BYOD n’offrent pas du tout les mêmes possibilités.

L’activation d’un profil professionnel permet aux entreprises de gérer les données et les applications de travail, mais laisse tout le reste de l’appareil mobile sous le contrôle de l’utilisateur. Les administrateurs peuvent gérer en toute sécurité la partie professionnelle, mais n’ont aucun contrôle sur les applications et les données personnelles : ils ne peuvent pas voir, accéder ou supprimer quoi que ce soit de personnel.

Points importants, l’administrateur ne peut installer le MDM de lui-même sur votre téléphone, puisque c’est à vous de télécharger l’application MDM depuis votre Play Store. Même une fois le MDM installé, vous pouvez désactiver / mettre en pause les applications professionnelles en un clic, respectant ainsi le droit à la déconnexion. De plus, à tout moment, vous pouvez vous rendre dans les paramètres du terminal et supprimer le profil professionnel: toutes les données professionnelles et les applications d’entreprise présentes dans le conteneur seront supprimées du téléphone ou de la tablette.

Puisque qu’en BYOD il est seulement possible de protéger les données sensibles (gestion des mots de passe pour l’accès au profil de travail, suppression des données professionnelles en cas de perte/vol), et de pousser à distance les ressources nécessaires au bon déroulement des missions (installation des applications métiers, synchronisation des contacts pro), les seules données personnelles traitées sont :

Nom, Prénom et adresse email (si renseignés par l’administrateur)
Le numéro de série de l’appareil et son IMEI
La liste des applications professionnelles installées dans le profil professionnel uniquement
La liste des contacts professionnels ajoutés par l’administrateur informatique dans le répertoire professionnel de l’appareil
La liste des fichiers professionnels poussés par l’administrateur informatique vers le profil professionnel de l’appareil

Si la solution de MDM choisie est basée (et stocke ses données) en Europe, et a une politique RGPD claire et bien définie, vous n’avez aucune inquiétude à avoir quant à l’accès à vos données personnelles, qui sont parfaitement bien protégées.

EN

Mon employeur peut-il accéder à mes données personnelles si un MDM gère mon smartphone?

De nombreux employés n'ont pas confiance dans la solution MDM de leur entreprise, car ils s'inquiètent de la confidentialité de leurs données et du contrôle de leurs appareils personnels.

Quels sont les droits de mon employeur ?

Mon employeur peut-il utiliser un MDM pour gérer mon appareil personnel ?

Et le RGPD dans tout ça?