Recommandations du Commissaire en matière de programmes BYOD (AVPA)

Je découvrais ce matin la publication par le Commissariat à la protection de la vie privée du Canada, il y a quelques mois de cela, d’un document qui peut s’avérer fort utile pour les entreprises en matière de programme BYOD (Bring Your Own Device, ou en français « Apportez votre propre appareil » ou AVPA). Ce document, intitulé Un programme « Apportez votre propre appareil » constitue-t-il le bon choix pour votre organisation ?, est offert en ligne et vise à fournir des lignes directrices aux entreprises, notamment les facteurs dont tenir compte pour l’adoption d’un programme AVPA, ainsi que la façon de s’y prendre.

Permettre aux employés d’utiliser leur tablette ou leur téléphone, c’est positif pour eux, certes, mais cela comporte aussi de sérieux risques qu’il est pertinent d’anticiper.

Le document du Commissariat me semble bien fait et résume bien les risques qu’on doit prévoir et tenter d’encadrer et d’endiguer quand on permet aux employés d’une entreprise d’y utiliser leurs propres appareils mobiles. Loin d’être un document-tablette comme en publient parfois nos fonctionnaires, ce document donne aux entreprises un bon résumé des principaux risques d’atteinte à la vie privée et à la sécurité quand on adopte un programme AVPA, et des façons dont cela tend à exposer les renseignements personnels qu’une entreprise peut détenir. On y explique aussi comment s’assurer que le tout soit stocké de façon sécuritaire, en minimisant les chances de communications sans autorisation à des tiers. J’en recommande la lecture à toute personne travaillant dans une entreprise et mettant en place ou gérant un tel programme.

Le document fait notamment état d’une quinzaine de recommandations, parmi lesquelles :

  • Effectuer une évaluation des menaces et des risques (EMR) qui comprend un examen des renseignements pertinents chez vous et de la mesure dans laquelle l’utilisation des appareils des employés est susceptible de créer des fuites;
  • Mettre en œuvre une politique d’AVPA qui s’appliquera aux employés (et qu’ils accepteront);
  • Former adéquatement les employés sur l’utilisation acceptable et la sécurité, notamment;
  • Mettre en place des mécanismes de contrôle à distance des appareils autorisés par l’entreprise;
  • Chiffrer le contenu des appareils.

Bonne lecture !