Un appareil personnel, des données professionnelles, et aucune règle écrite
Soixante-deux pourcent des PME suisses de moins de 100 employés n'ont pas de politique d'utilisation des appareils mobiles formalisée — ni signée par les collaborateurs. Lorsqu'un salarié quitte l'entreprise avec son propre téléphone sur lequel réside une copie locale de la messagerie Exchange ou des fichiers clients, la nLPD (nouvelle Loi fédérale sur la protection des données, en vigueur depuis le 01.09.2023) expose l'organisation à une notification obligatoire au Préposé fédéral à la protection des données et à la transparence (PFPDT) si les données exfiltrées concernent des personnes physiques identifiables. Rédiger une politique claire avant fin 2025 n'est plus une option.
BYOD, COPE, COBO : poser les définitions avant d'écrire la règle
Les trois modèles coexistent dans les PME romandes, souvent sans que les termes soient définis dans les documents internes :
- BYOD (Bring Your Own Device) : l'employé apporte et possède l'appareil. L'entreprise n'a aucun droit de propriété sur le matériel, mais doit pouvoir contrôler la couche applicative professionnelle.
- COPE (Corporate-Owned, Personally Enabled) : l'entreprise achète et gère l'appareil, mais autorise un usage personnel encadré. Modèle intermédiaire, souvent sous-documenté.
- COBO (Corporate-Owned, Business Only) : l'entreprise est propriétaire et l'appareil est strictement professionnel. Usage personnel interdit par politique. Contrôle MDM complet possible sans restriction légale particulière liée à la sphère privée.
Pour une PME de 20 à 150 endpoints, le choix dépend de trois variables : le secteur (données de santé, données financières, propriété intellectuelle), la capacité à financer un parc matériel, et la maturité RH à faire signer et respecter une politique.
Cadre légal suisse applicable en 2026
nLPD et obligations de sécurité
L'art. 8 nLPD impose des mesures techniques et organisationnelles proportionnées au risque. Sur un appareil BYOD, l'organisation ne contrôle ni le patch level de l'OS, ni les applications tierces installées, ni l'état du chiffrement. Si une violation de données survient via un appareil personnel non géré, le responsable du traitement devra démontrer au PFPDT que les mesures prises étaient adéquates — ce qu'il ne pourra pas faire sans politique écrite et sans journal d'accès.
L'art. 24 nLPD impose la notification au PFPDT dans les meilleurs délais dès qu'une violation est susceptible d'engendrer un risque élevé pour les personnes concernées. La procédure de notification au PFPDT exige de documenter la nature de la violation, les catégories de données touchées, le nombre approximatif de personnes concernées et les mesures correctives. Sans inventaire des appareils ayant accès aux données, cette documentation est impossible.
Droit du travail cantonal et surveillance des salariés
Le Code des obligations (art. 328b CO) et la nLPD encadrent la surveillance des salariés. En BYOD, déployer un profil MDM sur un appareil personnel qui collecte la géolocalisation ou les métadonnées d'applications privées constitue une violation du droit à la sphère privée. La politique doit donc préciser explicitement :
- quelles données sont collectées par le profil MDM et à quelle fin ;
- que le profil professionnel est isolé du profil personnel (conteneurisation Android Enterprise ou profil géré iOS) ;
- les conditions et la procédure d'effacement à distance (remote wipe) — limité au conteneur professionnel en BYOD, total en COBO.
Secteurs régulés
Les fiduciaires traitant des données FINMA-adjacentes, les cabinets médicaux ou les avocats genevois soumis au secret professionnel doivent aller plus loin : la politique BYOD doit être cohérente avec leur règlement interne de sécurité et, pour les établissements assujettis, avec les circulaires FINMA sur l'externalisation et la gestion des risques opérationnels. Dans ces cas, COBO ou au minimum COPE avec MDM supervisé est quasi-obligatoire pour tenir une posture auditoire défendable.
Architecture technique : ce que la politique doit refléter
BYOD : conteneurisation et accès conditionnel
Sur iOS (à partir de iOS 16 / Apple Business Manager) et Android (Android Enterprise avec Work Profile), il est possible d'isoler le profil professionnel sans accéder aux données personnelles. La politique doit spécifier :
- Version OS minimale acceptée : iOS 17.x ou Android 13 en 2026 (iOS 16 en fin de support Apple prévu courant 2025).
- Chiffrement activé (standard sur iOS depuis l'iPhone 6 ; Android vérifié via attestation SafetyNet/Play Integrity).
- Verrouillage écran obligatoire : PIN 6 chiffres minimum ou biométrie + PIN de secours.
- Accès conditionnel : l'utilisateur ne peut accéder à la messagerie ou aux applications métier que si le profil MDM est actif et conforme (posture check).
- L'effacement à distance se limite strictement au conteneur professionnel — clause à écrire explicitement dans la politique et dans l'avenant au contrat de travail.
COBO : contrôle complet, responsabilité étendue
En COBO, l'entreprise déploie via Apple Business Manager ou Android Zero-Touch Enrollment. Windows 11 23H2 via Autopilot + Intune ou équivalent MDM. Le périmètre de contrôle est total : BitLocker/FileVault activé, pare-feu local, restrictions USB, certificats EAP-TLS pour le Wi-Fi d'entreprise, SCEP ou PKCS pour la distribution des certificats applicatifs. La politique doit documenter :
- L'inventaire matériel et son rattachement à un utilisateur (relation 1:1 ou pool partagé).
- Les délais de mise à jour OS : patch critique sous 72 heures, mise à jour de sécurité sous 14 jours — aligné sur les CIS Benchmarks niveau 1 pour macOS 14 Sonoma et Windows 11.
- La procédure de restitution en fin de contrat : effacement certifié, sortie d'inventaire, révocation des certificats.
- L'usage personnel interdit ou toléré sous conditions (navigation web personnelle via profil séparé ou non).
Ce que la politique doit obligatoirement contenir — structure minimale
- Périmètre : quels appareils, quels systèmes d'information concernés.
- Modèle retenu (BYOD / COPE / COBO) et justification du choix.
- Exigences techniques minimales (OS, chiffrement, verrouillage).
- Droits et obligations de l'employé (acceptation du profil MDM, signalement de perte/vol dans les 4 heures).
- Droits de l'employeur : quelles données sont visibles, conditions d'effacement.
- Procédure de réponse à incident impliquant un appareil mobile (voir section suivante).
- Sanctions en cas de non-respect (références au règlement interne ou au contrat).
- Date de révision annuelle et responsable (DSI ou RSSI nommément désigné).
Réponse à incident : procédure spécifique aux appareils mobiles
La perte ou le vol d'un appareil — BYOD ou COBO — déclenche une séquence précise. Le NCSC recommande le signalement des incidents de cybersécurité significatifs. En interne, voici la procédure à formaliser :
- T+0 — Signalement par l'employé : notification au DSI ou à l'astreinte sécurité dans les 4 heures (délai à inscrire dans la politique). Mode de signalement : ticket ITSM ou canal Slack/Teams dédié #security.
- T+1h — Isolation : révocation du token MDM, effacement du conteneur professionnel (BYOD) ou effacement complet (COBO). Consignation dans le journal d'incidents avec horodatage.
- T+2h — Évaluation du risque nLPD : le DSI/RSSI détermine si des données personnelles au sens de la nLPD étaient présentes sur l'appareil (messagerie, CRM, fichiers RH). Si oui, évaluation du risque élevé.
- T+4h — Décision de notification : si le risque élevé est avéré, le juriste ou la direction enclenche la notification au PFPDT. Délai légal : meilleurs délais (interprété comme 72 heures dans la pratique, par analogie avec le RGPD).
- T+24h — Rapport interne : fiche d'incident complétée (nature, données touchées, nombre de personnes concernées, mesures prises). Archivage 3 ans minimum.
- T+72h — Clôture ou escalade : si l'incident implique des données de tiers (clients, patients, partenaires), notification individuelle selon art. 24 al. 4 nLPD si le risque élevé le justifie.
Sans politique écrite préalable, les étapes T+2h à T+4h sont impossibles à exécuter correctement : on ne peut pas évaluer ce qu'on n'a pas inventorié.
Cas pratique : fiduciaire vaudoise, 38 collaborateurs
Contexte : une fiduciaire à Lausanne, 38 collaborateurs dont 12 associés et gestionnaires travaillant en mobilité. Parc existant début 2025 : 22 MacBook Pro (macOS 13 Ventura, non supervisés), 16 PC Windows 11 22H2, et environ 30 smartphones personnels accédant à Microsoft 365 via Outlook mobile — aucun MDM en place.
Risque identifié : un gestionnaire perd son iPhone 13 personnel en janvier 2025 dans le train Lausanne–Genève. L'appareil contenait des e-mails avec des déclarations fiscales de 14 clients personnes physiques, non chiffrés localement (sauvegarde iCloud active mais non gérée). La fiduciaire n'a aucun moyen d'effacer à distance, aucun journal prouvant que les données étaient chiffrées. Coût de la gestion de crise : environ CHF 8 000 (juriste externe, communication clients, audit interne partiel). Pas de notification PFPDT faute de certitude sur le risque — décision risquée documentée.
Décision stratégique post-incident : la direction choisit un modèle hybride :
- COBO pour les 22 MacBook et 16 PC : déploiement MDM supervisé, FileVault et BitLocker activés, mise à jour OS forcée sous 14 jours.
- BYOD encadré pour les smartphones : profil MDM iOS (Work Profile) ou Android Enterprise déployé, Outlook et Teams uniquement via apps gérées, accès conditionnel Azure AD (Entra ID) avec compliance check.
Procédure de déploiement :
- Rédaction de la politique BYOD/COBO par le DSI externalisé + avocat spécialisé IT : 2 jours, coût estimé CHF 3 500.
- Avenant au contrat de travail signé par les 38 collaborateurs : clause de consentement au profil MDM, délimitation explicite des données accessibles, conditions d'effacement.
- Déploiement MDM sur les PC/Mac via Apple Business Manager et Autopilot : 3 semaines, rollout par vague de 10 appareils.
- Déploiement des profils BYOD iOS/Android : 38 smartphones, auto-inscription via lien envoyé par e-mail, délai de 10 jours ouvrables, relance pour les 6 non-conformes.
- Test d'effacement à distance sur un appareil de test : validation que seul le conteneur professionnel est effacé en BYOD.
- Formation de 45 minutes aux 38 collaborateurs : procédure de signalement, délai de 4 heures, numéro d'astreinte.
- Audit de conformité à 90 jours : 36/38 appareils mobiles conformes (2 remplacements pour OS trop ancien).
Budget total : CHF 14 000 sur 6 mois (licences MDM incluses, formation, conseil juridique). Coût annuel récurrent estimé : CHF 4 200 (licences + audit annuel). Comparé au coût d'un incident non maîtrisé (CHF 8 000 de crise seule, sans amende ni litiges clients), le ROI est positif dès la première année.
Récapitulatif opérationnel
- Choisir explicitement un modèle : BYOD, COPE ou COBO — le documenter et le justifier par écrit selon le secteur et le niveau de risque des données traitées.
- Formaliser la politique avant tout déploiement MDM : la technologie sans règle écrite signée ne protège ni l'employeur ni le salarié face à la nLPD.
- Exiger un avenant au contrat de travail pour chaque collaborateur concerné par un profil MDM sur appareil personnel : consentement éclairé, délimitation des données accessibles, conditions d'effacement.
- Définir des exigences OS minimales et les maintenir : iOS 17+, Android 13+, Windows 11 23H2, macOS 14 Sonoma — et bloquer l'accès aux ressources si l'appareil est hors conformité.
- Limiter l'effacement à distance au conteneur professionnel en BYOD : un effacement total d'un appareil personnel sans clause contractuelle claire expose à un litige prud'homal.
- Imposer un délai de signalement de perte/vol à 4 heures et le tester au moins une fois par an (exercice de simulation).
- Prévoir la procédure nLPD art. 24 dans la politique : qui décide de notifier, sur quelle base, dans quel délai, avec quels éléments de preuve.
- Réviser la politique annuellement ou à chaque changement d'OS majeur, de fournisseur MDM ou de structure RH significatif.
- Inventorier en continu : tout appareil accédant aux ressources de l'entreprise doit apparaître dans le registre des traitements et dans l'inventaire MDM — aucune exception.
- Documenter chaque incident même mineur : la démonstration de diligence face au PFPDT repose sur la traçabilité, pas sur l'absence d'incident.
SynGuard accompagne les PME romandes dans la rédaction de politiques BYOD/COBO conformes nLPD et leur déploiement MDM sur parcs mixtes Apple/Windows/Android.
Sources
- Loi fédérale sur la protection des données (nLPD), fedlex.admin.ch — Texte consolidé de la nLPD en vigueur depuis le 01.09.2023, incluant les art. 8 (mesures de sécurité) et 24 (notification des violations).
- PFPDT — Bases légales protection des données — Ressources officielles du Préposé fédéral sur le cadre juridique applicable, dont la procédure de notification.
- NCSC — Signalement d'incidents cyber — Procédure officielle de signalement des incidents de cybersécurité aux autorités fédérales suisses.
- CIS Benchmarks — Center for Internet Security — Référentiels de configuration sécurisée pour macOS, Windows, iOS et Android, niveaux 1 et 2.
- NIST Cybersecurity Framework (CSF 2.0) — Cadre de référence pour la gestion du risque cyber, applicable aux PME pour structurer leur gouvernance des endpoints.