L’usage d’appareils personnels de ses agents ne suffit pas, en effet, à écarter la responsabilité de l’employeur.
Comme le rappelait la CNIL en mars 2019, l’un des principaux risques tient à l’indisponibilité des données professionnelles dans le SI du responsable de traitement.
Mais la confidentialité est également un sujet. Dans le domaine de la santé, c’est principalement le partage de données de santé via des messageries instantanées, telles que Whatsapp, qui est sanctionné (ex: Datatilsynet, 9 juillet 2021, Medicals Nordic).
Plus récemment, l’autorité de protection des données de Roumanie a sanctionné un responsable de traitement pour ne pas avoir pris les mesures interdisant de capter les images de vidéoprotection avec un équipement personnel.
A l’hôpital, l’encadrement du BYOD doit donc concerner l’ensemble du personnel, et non se restreindre aux soignants.
Quelles bonnes pratiques adoptées?
1) Encadrer expressément le BYOD dans la charte informatique
2) Interdire certaines pratiques ou l’usage des équipements personnels dans certains locaux
3) Imposer des mesures de sécurité logique, pour veiller essentiellement à la confidentialité et à la disponibilité des données
4) Et surtout, sensibiliser, sensibiliser et sensibiliser