mercredi 27 juillet 2011

Bring Your Own Device : Quétou qu'ol'est ?

L’anglais et moi, nous ne sommes pas très amis … A choisir, je préfère même le patois charentais !!! Bon, je le conçois : à l’époque actuelle, ce n’est pas très valorisant de dire cela mais bon … je vous le promets, je réfléchis à comment remédier à cette situation !  En tout cas, « Bring Your Own Device », à premier abord, cela ne me parle pas ! Une petite recherche s’impose donc ...

Le BYOD (Brind Your Own Device) signifie l'utilisation des appareils personnels (PC portables, Smartphones, Téléphones, Tablet, etc.) pour des usages professionnels.
Ce nouveau comportement qui est en train de bouleverser profondément nos usages et nos comportements ouvre, un peu plus,  la porte entre le monde personnel et professionnel et ouvre de nombreuses opportunités qui peuvent largement bénéficier aux entreprises si elles savent en tirer parti.

Toute la question est de savoir comment gérer cette ouverture… L’aspect juridique doit notamment être clairement défini. En l'absence actuelle de tout texte ou jurisprudence sur ces questions, il est préférable d'anticiper les risques : mieux vaut prévenir que guérir !

Quels risques pour l’entreprise ?

L’ordinateur peut être une source de risques pour l'entreprise : c'est la porte d'entrée de virus et chevaux de Troie, c'est le lieu de stockage de contenus parfois illicites : musiques, vidéos, etc., c'est également un moyen pour sortir de l'entreprise de l'information confidentielle. 

Comment anticiper ces risques ?

Le contrat de travail pourra fixer des règles.
De même, la charte informatique devra être revue afin d’intégrer, dans son périmètre, les ordinateurs personnels utilisés par les salariés dans le cadre de leur activité professionnelle, sur le lieu de travail, connectés au réseau et aux ressources de l'entreprise.
La charte devra notamment veiller à fixer les règles relatives à l'accès par l'employeur aux données présentes sur l'ordinateur du salarié. En effet, à ce jour, il est admis par les tribunaux que les données présentes sur les postes de travail mis à disposition des salariés par l'employeur sont présumées être des données professionnelles. A l'aube du « bring your own device », cette jurisprudence devra forcément être revisitée car les ordinateurs seront la propriété des salariés ! Cela veut-il dire que les données de l'ordinateur personnel du salarié seront considérées par les juges comme présumées personnelles ? Dans ces circonstances, comment l'employeur aura-t-il accès aux données professionnelles, notamment lorsque le salarié est absent ou quitte l'entreprise ? Il y a là un champ d'incertitude que la charte informatique doit absolument combler.
Des procédures techniques de recopie ou d'effacement automatique des informations de l'entreprise, lorsque le poste informatique du salarié est connecté au réseau ou lorsqu'il quitte l'entreprise, devront également être mises en place.

Quels risques pour le salarié ?

L'usage, par le salarié, de son ordinateur personnel dans le cadre de son travail peut également être source de dommage. En l'absence de toute règle, ce sont ici les grands principes du droit de la responsabilité qui trouvent à s’appliquer :

Vol ou détérioration de l’ordinateur personnel du salarié

En cas de vol ou de détérioration de l’ordinateur portable personnel du salarié, c'est l'employeur qui sera présumé responsable de la disparition de l'ordinateur. Il sera tenu d'indemniser le salarié. Il pourra atténuer sa responsabilité en prouvant la faute du salarié. L'entreprise devra s'aviser de vérifier que sa police d'assurance couvre tous ces types de dommages et de responsabilités.

Ordinateur personnel du salarié à l’origine d’un dommage sur un autre salarié

Le salarié est responsable des dommages que le bien dont il a la garde cause à autrui, ce peut-être son employeur mais également un autre salarié. Si un salarié est blessé par un ordinateur portable personnel, le régime juridique des accidents de travail s'appliquera, que l'employeur soit propriétaire ou non de l'appareil ayant causé le dommage et ce, comme pour tout dommage subi par une personne sur son lieu de travail.

Ordinateur personnel du salarié à l’origine d’un dommage dans le système de l’entreprise du (dissémination de virus, intrusion frauduleuse …)

Le salarié verra-t-il sa responsabilité engagée ? Rien n'est moins sûr. Il n'y a pas aujourd'hui d'obligation pesant sur tout individu d'assurer la sécurité de son matériel informatique, c'est peut-être son intérêt, mais ce n'est pas son obligation !! On peut penser que l'entreprise, par essence dans une situation de compétence supérieure à celle du salarié sur ces questions techniques, accepte le risque de voir connectés sur son réseau des matériels hétérogènes, à la sécurité non avérée. En outre, la jurisprudence constante de la Cour de cassation considère que la responsabilité civile du salarié envers son employeur suppose « non une simple erreur involontaire, mais une faute lourde assimilable au dol ». Cette faute lourde doit être caractérisée par une intention de nuire à l'employeur. Ce n'est que sur le terrain du droit disciplinaire que l'employé pourra être sanctionné, à condition que les règles de conduite qui lui ont été imposées aient clairement été spécifiées dans le règlement intérieur.

Comment anticiper ces risques ?

L'entreprise devra donc imposer aux salariés des outils de protection à l'état de l'art mais en assistant le salarié dans cet usage.

Par ailleurs, si l'entreprise fournit elle-même les antivirus, elle devra s'assurer auprès des éditeurs que les licences acquises lui permettent cette mise à disposition sur des postes dont elle n'est pas propriétaire.

mardi 26 juillet 2011

Politique de Gestion des Risques Juridiques : par où commencer … ?

D’abord, quelques recherches sur le net puis la lecture d’un livre, « La gestion des risques juridiques » de Franck VERDUN.

Première étape :
Prendre conscience des  vulnérabilités de l'entreprise au regard de ses relations commerciales, de l'exploitation des moyens technologiques et des changements stratégiques et organisationnels au sein de l'entreprise. Cette prise de conscience conduit le plus souvent à constater les difficultés de l'entreprise, à mesurer les risques encourus et leurs conséquences sur la pérennité de l'activité de l'entreprise.

Deuxième étape :
Identifier les risques potentiels et les obligations de l'entreprise au regard des spécificités de son activité et du cadre réglementaire en développement et en évolution continue. Une cartographie des risques peut alors être établie sur la base d'un audit transversal de la politique contractuelle de l'entreprise, des incorporels (marque, brevet, savoir-faire, droit d'auteur) et des technologies mises en œuvre par l'entreprise.

Troisième étape :
Mettre à niveau la situation juridique de l'entreprise et informer les membres de l'entreprise de la teneur et des objectifs de la politique de gestion des risques.

Allez, au travail !!! …

Mise en place d'une politique de gestion des risques juridiques

Dernièrement, il m’a été confié une fort belle mission : mettre en place une politique de gestion des risques juridiques. 

Une quoi me diront certains ? 
Est-ce vraiment conciliable avec les exigences de l'entreprise me diront d’autres ?
  
Loin de constituer de nouveaux freins au développement de l'activité de l'entreprise, il s'agit, au contraire, de l'accompagner pour assurer sa continuité et la rendre plus sûre et pérenne. Une politique de gestion des risques juridiques doit contribuer :
- à renforcer l'image de l'entreprise et sa crédibilité vis-à-vis de ses clients et de ses partenaires ;
- à pérenniser l'activité de l'entreprise ;
- à faciliter son adaptation au changement d'environnement juridique, économique et technique. 

L'objectif est de garantir un niveau de risque acceptable pour l'entreprise en mettant en œuvre des actions prenant en considération l'environnement juridique, technique, économique, humain et organisationnel dans lequel elle évolue.

Une politique de gestion des risques juridiques implique une responsabilisation de toutes les ressources de l'entreprise et donc une information préalable et une sensibilisation des salariés aux risques inhérents à leur activité. Cette démarche doit permettre à chacun des membres de l'entreprise d'être en mesure d'identifier les zones de risques et de déterminer les actions à mettre en œuvre en concertation avec la direction générale.

Elle permet de prévenir des sinistres dont les conséquences financières sont sans commune mesure avec les investissements induits par sa mise en œuvre : un risque nul ou faible peut, en effet, s'avérer lourd de conséquences.

Congés payés et temps partiel

L'employeur doit appliquer les mêmes règles de congés payés à tous les salariés à temps plein ou à temps partiel sans favoriser les uns ou les autres. Plusieurs pratiques de gestion des congés payés coexistent et, malgré une idée répandue, la règle des jours ouvrables paraît la plus simple.

Mêmes droits qu'à temps plein 

30 jours ouvrables
Les salariés à temps partiel ont les mêmes droits à congés payés (CP) que leurs collègues à temps plein. En effet, l'horaire effectif du salarié est sans incidence sur la durée du congé et il n'y a pas lieu de réduire le nombre de jours en fonction de l'horaire pratiqué. Ainsi, toute période d'un mois de travail effectif (ou 4 semaines ou 24 jours ouvrables) ouvre droit à 2,5 jours ouvrables de CP (soit 30 jours ouvrables pour une période complète de référence), quelle que soit la durée hebdomadaire ou mensuelle de travail du salarié à temps partiel.

Pratique : jours ouvrés et prorata
Des employeurs, afin de simplifier les explications aux salariés, adoptent les jours ouvrés pour tous les salariés (temps plein ou partiel). Certains vont jusqu'à proratiser les droits à congés en fonction de la durée du travail : il faut savoir que la Cour de cassation s'oppose à cette pratique et a ainsi refusé à un conseil de prud'hommes de calculer les droits à CP d'un salarié à 80 % en affectant aux droits d'un salarié à temps plein un coefficient de 80 %.

Exemple : dans un calcul au prorata, un salarié travaillant à 3/5 aurait droit pour une année complète de présence à 25 jours ouvrés X 3/5 = 15 jours ouvrés de CP.

Décompte : du légal à la pratique 

Le décompte des congés payés se fait en principe, en jours ouvrables.

Jours à décompter
L'employeur décompte les CP à partir du premier jour où le salarié aurait travaillé, s'il n'était pas parti en vacances, jusqu'à la veille de sa reprise. Il prend en compte les jours non travaillés du fait de la répartition de l'horaire de travail du salarié.
Le salarié travaillant 2 jours par semaine se voit donc décompter 6 jours ouvrables pour une semaine de CP.

Décompte en jours ouvrés
Les employeurs raisonnant en jours ouvrés ne décomptent que les jours normalement travaillés dans l'entreprise (5 jours par semaine pour une répartition du lundi au vendredi). Cette pratique est admise si elle garantit aux salariés des droits au moins égaux au calcul en jours ouvrables. Pour le salarié à temps partiel, cela revient à défalquer tous les jours ouvrés dans l'entreprise (même ceux qu'il ne travaille pas), depuis le premier jour où il aurait dû travailler jusqu'à la veille de son retour. À défaut, il aurait au total plus de droits à CP que ses collègues à temps plein !
Pour parer à cette difficulté, certains employeurs veillent, par exemple, à ce que 5 mercredis soient pris en congés payés pour un salarié qui ne travaille pas le mercredi (5 car il y a 5 semaines de CP).
L'employeur qui, malgré la jurisprudence, proratise les jours de congés acquis en fonction de la durée du travail, décompte les seuls jours ouvrés que le salarié aurait travaillés.

Quand les jours fériés s'en mêlent
Sauf jours fériés chômés, la semaine compte 6 jours ouvrables pour tous.
En cas de décompte en jours ouvrés, si un jour férié coïncide avec un jour ouvrable et non ouvré (ex. : un samedi férié chômé alors que l'horaire est réparti sur 5 jours du lundi au vendredi), un jour de congé en plus est accordé au salarié pour ne pas le défavoriser.
L'employeur est tenu de prendre les mêmes précautions de décompte pour les salariés auxquels il accorde les congés payés, en jours ouvrés, au prorata de leur durée du travail.

Passage de temps partiel à temps plein et réciproquement

En principe, le passage de temps plein à temps partiel, ou réciproquement, n'entraîne aucun traitement particulier pour les congés payés (CP) puisque tous les salariés sont logés à la même enseigne.
Pour l'employeur qui proratise les CP des temps partiels, les choses se gâtent, surtout si le salarié a modifié sa durée du travail au cours de l'année de prise ou de référence. Dans ce cas-là, il lui faut recalculer le nombre de jours acquis et pris afin qu'il corresponde à la nouvelle durée du travail du salarié. Il en est de même si la durée de travail varie tout en restant à temps partiel (ex. : de 20 h à 25 h hebdomadaires).
Le décompte en jours ouvrables paraît alors plus simple.