Quels risques légaux pour l’usage des terminaux mobiles ?
Les entreprises qui acceptent, supportent, voire encouragent, l’usage des terminaux mobiles sans, au préalable, mettre en place une politique stricte risquent non seulement de devoir faire face à d’éventuelles pertes de données mais aussi à une myriade de soucis légaux.
C’est en substance le message délivré par Spencer Wilcox, superviseur des services de conformité de Constallation Energy, dans le cadre d’une présentation lors du congrès sécurité de l’(ISC)2, qui se déroulait fin septembre à Orlando, en Floride.
Selon lui, avant de permettre aux salariés d’accéder au SI de l’entreprise avec des terminaux mobiles, il faudrait leur faire signer un accord de respect de la charte interne des usages mobiles et de la sécurité des terminaux, entre autres. Ce document préciserait notamment que l’entreprise reste propriétaire des données susceptibles d’être répliquées sur le terminal mobile, jusqu’aux données d’usage et de localisation. Il stipulerait également qu’elle est susceptible, si nécessaire, de partager ces données avec des tiers. Wilcox souligne que des précédents ont montré que les entreprises étaient susceptibles d’encourir des préjudices sévères du fait d’enchaînements malheureux dans le cadre de l’utilisation de terminaux mobiles par leurs collaborateurs.
Par exemple, dans l’affaire LVRC Holdings LLC contre Brekka, en 2009, un employé malveillant a volé des données du terminal mobile qui lui avait été fourni par son entreprise. Celle-ci a poursuivi le salarié en invoquant une violation de la législation américaine Computer Fraud and Abuse Act. Mais une Cour d’Appel locale a tranché en faveur du salarié, notamment parce que l’entreprise n’avait pas défini explicitement ce qui pouvait constituer une violation des usages légitimes des terminaux mobiles fournis à ses salariés... «La Cour a noté que “vous avez donné à votre employé la permission d’agir comme il lui semblait pertinent. Dès lors, il était autorisé à utiliser l’appareil sans restriction. Il avait un blanc-seing. Et il pouvait faire ce qu’il voulait des données parce que vous n’aviez pas fixé de limite.”»
Wilcox a également encouragé les entreprises à prévoir une politique interdisant l’utilisation du téléphone mobile au volant : les entreprises fournissant des téléphones mobiles à leurs employés et attendant d’eux une joignabilité sans faille pourraient s’exposer à la mise en cause de leur responsabilité en cas d’accident.
Un autre scénario préoccupant mais sans précédent légal touche à la prise de vue avec des appareils administrés ou possédés par l’entreprise. Wilcox souligne que de nombreuses personnes ne réalisent pas que les photos numériques intègrent des métadonnées - latitude et longitude du lieu de prise de vue, date et heure, etc. Des attaquants pourraient utiliser ces données pour trouver la situation géographique exacte d’un lieu ou d’un objet qu’ils visent, physiquement.
Wilcox reconnaît que la nature pervasive des technologies modernes de mobilité et l’émergence d’appareils mobiles tels que les iPhone ou les iPad rendent difficile d’en interdire l’utilisation. Mais cette utilisation doit être encadrée afin de minimiser les risques techniques et légaux.
Krister Samuelsson, de Volvo, en Suède, assistait à la présentation de Wilcox. Il a indiqué que son organisation a mis en place une politique de sécurité relative aux terminaux mobiles. Mais il en souligne la difficulté de gestion, en raison du caractère multinational de ses activités et des différences législatives de chaque pays. Les exceptions locales sont donc la règle avec les difficultés que cela entraîne pour emporter l’adhésion des utilisateurs.
Pour approfondir sur Administration des terminaux (MDM, EMM, UEM, BYOD)
-
BYOD : les risques associés à l’utilisation d’appareils personnels au bureau
-
UEM : l’administration des postes de travail à l’heure du Covid-19
-
Application mobile professionnelle : 5 recommandations concrètes pour concevoir et développer
-
Bouygues Télécom active la voix sur Wi-Fi pour ses clients entreprises