Le 15 mars 2023, l’application TikTok a disparu des téléphones portables des salariés de la Commission européenne. L’institution a mis à jour son règlement intérieur pour bannir le réseau social chinois de sa flotte d’appareils professionnels. Mais aussi des appareils personnels des équipes si elles ont des applications professionnelles installées dessus. « Cette mesure vise à protéger la Commission contre des menaces de cyberattaques et des actions qui pourraient être exploitées pour des cyberattaques contre l’institution », justifie t-elle dans un communiqué. L’entreprise est la cible de critiques, qui la soupçonnent de partager les informations personnelles de ses utilisateurs avec le gouvernement chinois.
Fin mars, c’est l’administration française qui a sévi. Le ministre de la Transformation et de la Fonction publique, Stanislas Guérini, a annoncé que « les applications récréatives » seront sous peu bannies des téléphones professionnels fournis aux agents publics. « Elles ne présentent pas les niveaux de cybersécurité et de protection des données suffisants pour être déployées sur les équipements d’administrations », justifie le ministère.
Pour garantir la cybersécurité de nos administrations et de nos agents publics, le @gouvernementFR a décidé d’interdire les applications récréatives comme TikTok, sur les téléphones professionnels des fonctionnaires d’État. @jnbarrot pic.twitter.com/avxtpKZ6uu
— Stanislas Guerini (@StanGuerini) March 24, 2023
De quoi donner matière à réflexion aux entreprises ? Quel cadre imposer à ses salariés pour l’utilisation du matériel électronique afin de ne pas compromettre la cybersécurité de leur employeur ? On fait le point.
Il est possible d’interdire à ses salariés d’installer TikTok sur leur téléphone
VRAI. Si le téléphone appartient à l’employeur, celui-ci peut édicter des règles sur les applications en droit d’être installées ou non dessus. C’est d’ailleurs également le cas pour les ordinateurs pour lesquels il faut parfois un statut particulier (administrateur) afin de pouvoir installer certains logiciels. Sur son site, la Cnil rappelle que « l’employeur peut contrôler et limiter l’utilisation d’internet« , notamment via des « dispositifs de filtrage de sites ». Et cela autant pour des considérations de cybersécurité (« assurer la sécurité des réseaux qui pourraient subir des attaques ») que de management (« limiter les risques d’abus d’une utilisation trop personnelle d’internet »).
MAIS si le téléphone appartient à l’employé et que l’entreprise craint qu’une application ne puisse représenter un danger pour les fichiers de l’entreprise, elle doit alors interdire à ses salariés d’utiliser des terminaux personnels à des fins professionnelles. Mais elle ne pourra pas restreindre leurs usages personnels.
Un employeur peut obliger ses salariés à utiliser du matériel informatique professionnel
VRAI. Le Code du travail impose à l’employeur de fournir à ses salariés « les moyens nécessaires à l’exécution de leurs tâches professionnelles ». Mais il peut, à la demande d’un salarié, l’autoriser à utiliser du matériel personnel pour s’acquitter de ces mêmes tâches. « La possibilité d’utiliser des outils personnels relève avant tout d’un choix de l’employeur qui peut tout aussi bien l’autoriser sous conditions, ou l’interdire », souligne la Cnil. De son côté, l’Anssi recommande de « subordonner l’utilisation des équipements personnels à une autorisation préalable de l’administrateur réseau et/ou de l’employeur ».
Si une cyberattaque survient parce qu’un salarié travaille depuis un équipement personnel, l’entreprise ne peut être tenue pour responsable
FAUX. La Cnil met ainsi en garde les employeurs peu regardants, qui seraient tentés de se défausser de leurs responsabilités en matière de cybersécurité : « l’employeur est responsable de la sécurité des données personnelles de son entreprise, y compris lorsqu’elles sont stockées sur des terminaux dont il n’a pas la maîtrise physique ou juridique, mais dont il a autorisé l’utilisation pour accéder aux ressources informatiques de l’entreprise ».
L’employeur doit édicter des règles d’utilisation des équipements informatiques pour limiter les risques cyber
FAUX. Aucun texte n’oblige les entreprises à disposer d’un document qui formulerait clairement les règles en la matière.
MAIS la prudence et le pragmatisme imposent de le faire. Ainsi, l’Anssi recommande notamment de « séparer strictement les usages à caractère personnel de ceux à caractère professionnel », sur des matériels distincts – notamment pour ce qui concerne les équipements de stockage de données. Même si les équipements professionnels peuvent être utilisés à des fins personnelles dans une limite raisonnable, l’employeur peut également « exiger que les activités personnelles soient cloisonnées sur un équipement professionnel » – il s’agit alors de créer une bulle de sécurité, soit un environnement dédié, hermétique de l’environnement professionnel. Enfin, la Cnil suggère de « prévoir une procédure en cas de panne ou de perte du terminal personnel » qui permet notamment d’effacer à distance les informations professionnelles qui s’y trouvent.
Il est préférable d’interdire les smartphones lors des réunions stratégiques
VRAI. Cela peut paraître surprenant mais il s’agit même d’une recommandation de l’Anssi : « évitez de prendre votre smartphone pendant les réunions sensibles« . Et pour cause, « il peut être utilisé pour enregistrer vos conversations, y compris à votre insu ». Lors de rendez-vous hautement stratégiques, mieux vaut donc se délester de son compagnon électronique – que TikTok soit ou non installé dessus !
