Un commercial qui consulte ses emails professionnels sur son iPhone personnel depuis 2019. Une assistante RH qui répond à des messages WhatsApp contenant des documents confidentiels depuis son Samsung. Un technicien support qui accède au CRM via son navigateur mobile sans authentification renforcée.

Dans la plupart des PME françaises, le BYOD (Bring Your Own Device) existe déjà. Il précède la politique. La question n’est pas d’autoriser ou d’interdire — c’est déjà fait, par défaut, sans règles. La question est de le formaliser avant qu’un incident ne force la main.

Ce guide vous donne le cadre juridique, les exigences techniques, et un modèle de politique directement utilisable.

Le BYOD dans les PME françaises : l’état des lieux

Selon les enquêtes récentes sur les pratiques numériques en entreprise, plus de 60 % des salariés en France utilisent leur smartphone personnel pour au moins un usage professionnel quotidien — consultation de la messagerie, accès à un outil collaboratif, lecture de documents partagés. Dans les PME où l’informatique est légère et les processus informels, ce taux monte.

Le BYOD fantôme

Le BYOD fantôme (ou shadow BYOD) désigne la situation dans laquelle des appareils personnels accèdent aux ressources d’entreprise sans qu’aucune politique ne l’encadre. C’est la situation de la majorité des PME françaises aujourd’hui. Elle se caractérise par :

Des accès à la messagerie professionnelle configurés directement dans l’application Mail native du téléphone, sans conteneurisation
Des documents téléchargés dans le stockage personnel de l’appareil via OneDrive, Google Drive ou SharePoint mobile
Des conversations professionnelles sur WhatsApp, Signal ou iMessage, hors de tout contrôle de l’entreprise
Aucune visibilité IT sur quels appareils ont accès à quelles données

Le problème du BYOD fantôme n’est pas que les usages existent — c’est que l’employeur ne peut ni sécuriser ces accès, ni les révoquer rapidement, ni en tenir compte dans son évaluation des risques RGPD.

Pourquoi les PME hésitent à formaliser

Deux freins reviennent systématiquement. Le premier est juridique : l’idée qu’on ne peut pas imposer quoi que ce soit sur un appareil personnel. C’est partiellement vrai — mais une politique bien construite repose sur le consentement informé du salarié, pas sur une imposition unilatérale. Le second est technique : la crainte que la mise en place d’un MDM soit complexe et coûteuse. Les solutions actuelles pour PME ont considérablement simplifié ce point.

Formaliser le BYOD ne signifie pas tout contrôler. Cela signifie protéger les données d’entreprise tout en respectant la vie privée des salariés — et avoir les outils pour agir si quelque chose tourne mal.

Les risques concrets d’un BYOD non géré

Un appareil personnel non géré qui accède aux ressources d’entreprise représente plusieurs catégories de risques.

Fuite de données

Le risque le plus fréquent et le plus difficile à détecter. Un salarié qui stocke des emails professionnels dans sa boîte Gmail personnelle, qui télécharge des fichiers clients dans son iCloud, ou qui copie-colle des données confidentielles dans une application de prise de notes personnelle crée une fuite de données que l’entreprise ne peut pas mesurer ni stopper. En cas de départ, ces données restent accessibles au salarié. En cas de compromission du compte personnel, elles deviennent accessibles à un attaquant.

Perte ou vol de l’appareil

Un smartphone perdu ou volé contenant un accès direct à la messagerie professionnelle, aux outils métier et potentiellement aux documents partagés devient une porte d’entrée dans le système d’information de l’entreprise. Sans MDM, l’entreprise ne peut ni effacer les données d’entreprise à distance, ni révoquer l’accès rapidement, ni savoir ce qui était stocké localement sur l’appareil.

Malware et applications vérolées

Les appareils personnels ont un niveau de protection très variable. Certains salariés installent des applications hors des stores officiels, ne mettent pas à jour leur système d’exploitation, ou utilisent des réseaux Wi-Fi sans précaution. Un appareil infecté par un malware qui accède à la messagerie professionnelle peut exfiltrer des identifiants, des emails, ou des documents en arrière-plan sans que personne ne s’en aperçoive.

Bridging réseau

Quand un salarié en BYOD se connecte simultanément au Wi-Fi de l’entreprise et à son réseau mobile 4G/5G, son appareil crée un pont potentiel entre le réseau interne de l’entreprise et un réseau externe non contrôlé. Dans certaines configurations, cela peut permettre à un attaquant présent sur le réseau mobile de l’appareil d’accéder à des ressources internes normalement isolées derrière le pare-feu de l’entreprise.

Responsabilité RGPD

Si un appareil personnel mal sécurisé est à l’origine d’une violation de données à caractère personnel, l’entreprise reste responsable en tant que responsable de traitement — même si l’appareil appartient au salarié. La CNIL ne tient pas compte du fait que l’appareil était personnel si l’accès aux données était lié à l’activité professionnelle et que l’entreprise n’avait pas mis en place de mesures adaptées.

Le cadre juridique : ce que dit la CNIL

La CNIL a publié plusieurs recommandations sur le BYOD, en insistant sur trois principes fondamentaux que votre politique doit respecter.

La proportionnalité

Les outils de gestion déployés sur les appareils personnels ne doivent collecter que les données strictement nécessaires à la sécurisation des ressources professionnelles. Un MDM qui remonte l’historique de navigation complet du salarié, les applications personnelles installées, ou la géolocalisation permanente de l’appareil ne passe pas le test de proportionnalité. La collecte doit se limiter : statut de conformité de l’appareil (version OS, chiffrement activé), applications professionnelles installées, dernier accès aux ressources d’entreprise.

Le consentement éclairé

L’installation d’un MDM sur un appareil personnel ne peut pas être imposée sans le consentement informé et explicite du salarié. Ce consentement doit être documenté — c’est la signature de la politique BYOD. Il doit être précédé d’une information claire sur ce que le MDM peut et ne peut pas faire : quelles données il collecte, si une suppression à distance est possible, et sur quel périmètre.

La CNIL précise que ce consentement ne peut pas être la condition de l’emploi pour les salariés dont le poste n’exige pas d’usage mobile. En revanche, pour un poste qui nécessite explicitement un accès mobile aux ressources d’entreprise, l’installation du MDM peut être présentée comme une condition d’exercice de la fonction.

La vie privée sur l’appareil personnel

Même avec un MDM installé, le salarié conserve ses droits fondamentaux sur la partie personnelle de son appareil. L’employeur ne peut pas accéder aux photos personnelles, aux applications non professionnelles, aux messages privés ou à la navigation personnelle du salarié. Les solutions MDM modernes, et en particulier les profils de travail Android (Android Enterprise) et la gestion par supervision iOS, permettent de créer une séparation technique nette entre le conteneur professionnel géré et l’espace personnel de l’appareil.

Pour en savoir plus sur les obligations de l’entreprise vis-à-vis des données personnelles dans ce contexte, consultez notre page sur la conformité RGPD.

Ce que l’employeur peut et ne peut pas contrôler

Peut contrôler	Ne peut pas contrôler
Applications professionnelles installées	Applications personnelles installées
Statut de chiffrement de l’appareil	Contenu des messages personnels
Version du système d’exploitation	Historique de navigation personnel
Conformité des configurations de sécurité	Géolocalisation permanente hors heures de travail
Effacement des données d’entreprise	Photos et documents personnels

Construire votre politique BYOD

Une politique BYOD efficace couvre quatre volets : les exigences sur l’appareil, les configurations de sécurité, les usages autorisés, et les droits et obligations mutuels.

Exigences sur l’appareil

Définissez les critères d’éligibilité. Un appareil qui ne peut pas les respecter ne peut pas participer au BYOD — le salarié devra utiliser un équipement professionnel fourni par l’entreprise pour les usages concernés.

Version minimale du système d’exploitation : iOS 17 ou supérieur, Android 13 ou supérieur en 2026. Ces versions garantissent la disponibilité des fonctionnalités de sécurité modernes (profil de travail, chiffrement, sandboxing des applications).
Fin de support actif : excluez les appareils dont le fabricant ne publie plus de correctifs de sécurité. Un iPhone 6 ou un Android de 2019 sans mises à jour de sécurité ne peut pas être admis sur vos ressources.
Chiffrement du stockage : obligatoire. Sur iOS, il est activé par défaut dès qu’un code de déverrouillage est configuré. Sur Android, vérifiez via les paramètres de sécurité.
Espace de stockage suffisant : l’installation du profil MDM et des applications professionnelles nécessite de l’espace disponible.

Configurations de sécurité obligatoires

Code de déverrouillage : PIN à 6 chiffres minimum, schéma interdit (trop prévisible), ou biométrie complétée par un PIN de secours.
Verrouillage automatique : 5 minutes maximum d’inactivité.
Chiffrement activé : vérifié automatiquement par le MDM à l’inscription.
Mises à jour de sécurité : obligation d’installer les correctifs dans les 30 jours suivant leur publication. Le MDM peut vérifier cette conformité et bloquer l’accès aux ressources d’entreprise en cas de non-conformité.
Wi-Fi de confiance uniquement : interdiction d’accéder aux ressources d’entreprise depuis un réseau Wi-Fi public non sécurisé sans VPN actif.
MFA sur tous les accès professionnels : l’authentification à deux facteurs doit être activée sur tous les comptes d’entreprise accessibles depuis l’appareil — messagerie, CRM, outils collaboratifs. Sans MFA, la compromission d’un mot de passe suffit à donner accès à tout.

Séparation des données

La séparation technique entre les données personnelles et professionnelles est la pierre angulaire du BYOD respectueux de la vie privée. Deux approches principales existent :

Profil de travail (Android Enterprise) : Android crée un conteneur isolé sur l’appareil avec ses propres applications, ses propres contacts et sa propre zone de stockage. L’employeur gère uniquement le profil de travail. Les données personnelles restent dans le profil personnel, inaccessibles au MDM.

Gestion des applications (MAM) sur iOS : Apple permet de déployer et gérer des applications professionnelles dans un conteneur sécurisé via Microsoft Intune ou d’autres solutions MDM. Les données gérées ne peuvent pas être copiées vers des applications non gérées (partage bloqué entre l’application Mail professionnelle et WhatsApp, par exemple).

Consentement à l’effacement à distance

C’est la clause la plus sensible de la politique BYOD. Vous devez mentionner explicitement :

Ce qui peut être effacé : uniquement les données d’entreprise dans le conteneur géré (wipe sélectif), ou l’intégralité de l’appareil dans des cas extrêmes (wipe complet, uniquement si prévu contractuellement)
Dans quelles circonstances : perte, vol, soupçon de compromission, fin de contrat
Par qui : service informatique uniquement, sur décision du RSSI ou de la direction
Avec quel préavis : immédiat en cas de perte ou vol, procédure formelle en cas de fin de contrat

Recommandation : limitez-vous au wipe sélectif dans votre politique. Le wipe complet d’un appareil personnel sans base contractuelle très solide expose l’entreprise à des recours.

Les solutions MDM pour PME

Quatre solutions dominent le marché pour les entreprises de taille PME. Les voici avec leurs caractéristiques pratiques.

Microsoft Intune

Intune est inclus dans les licences Microsoft 365 Business Premium (environ 22 € par utilisateur et par mois), ce qui en fait la solution naturelle pour les PME déjà dans l’écosystème Microsoft. Il gère iOS, Android, Windows et macOS depuis une console unifiée.

Points forts : intégration native avec Azure AD, politiques d’accès conditionnel (un appareil non conforme est automatiquement bloqué), déploiement d’applications silencieux, compatibilité avec les profils de travail Android et la supervision iOS. Pour les PME sans MDM existant mais déjà sous Microsoft 365, c’est le choix le plus rapide à déployer.

Limites : la console d’administration peut être intimidante pour une petite équipe IT sans expérience Intune. Le déploiement initial demande quelques jours de configuration.

Google Endpoint Management

Inclus dans Google Workspace (à partir de 6 € par utilisateur et par mois pour la gestion de base, fonctions avancées dans les éditions Business Plus et Enterprise). Gère Android nativement avec une excellente intégration, iOS avec quelques limitations.

Points forts : déploiement simple pour les PME sous Google Workspace, gestion des profils de travail Android fluide, console unifiée avec Drive, Gmail et les autres services Google. Adapté aux entreprises dont le parc est majoritairement Android.

Limites : gestion iOS moins complète que Intune. Les fonctionnalités avancées (politiques d’accès conditionnel, rapports de conformité détaillés) nécessitent les éditions supérieures.

Jamf Now / Jamf Pro

Jamf est la référence pour la gestion des appareils Apple (iPhone, iPad, Mac). Jamf Now cible les PME avec une interface simplifiée (à partir de 4 $ par appareil et par mois). Jamf Pro, plus complet, est davantage dimensionné pour les entreprises de taille intermédiaire.

Points forts : gestion iOS la plus complète du marché, déploiement zero-touch pour les nouveaux appareils Apple, politiques de conformité granulaires, excellent support des fonctionnalités de sécurité Apple (Managed Apple IDs, Activation Lock).

Limites : spécialisé Apple uniquement. Si votre parc BYOD inclut des Android, vous aurez besoin d’une solution complémentaire. Coût plus élevé que les alternatives.

Hexnode

Solution MDM multi-plateformes (iOS, Android, Windows, macOS, tvOS) avec une tarification accessible pour les PME (à partir de 1 $ par appareil et par mois). Positionnée comme alternative économique aux grandes solutions.

Points forts : interface administrative claire, déploiement rapide (quelques heures pour un parc de moins de 100 appareils), support des profils de travail Android et de la gestion MAM iOS, portail en self-service pour les utilisateurs. Adapté aux PME qui cherchent une solution simple sans expertise MDM interne.

Limites : écosystème partenaires moins développé que Intune ou Jamf, intégrations SSO plus limitées, support technique parfois lent sur les fuseaux horaires européens.

Tableau comparatif

Solution	Prix indicatif	iOS	Android	Inclus dans…
Microsoft Intune	Inclus M365 BP	Excellent	Excellent	Microsoft 365 Business Premium
Google Endpoint	Inclus Workspace	Correct	Excellent	Google Workspace Business+
Jamf Now	~4 $/appareil/mois	Référence	Non	Standalone
Hexnode	~1 $/appareil/mois	Bon	Bon	Standalone

BYOD et phishing : le mobile change la donne

Le BYOD et la sécurité de la messagerie ne sont pas des sujets séparés. Les appareils personnels sont aujourd’hui le principal vecteur de phishing contre les salariés, pour deux raisons structurelles.

Le smishing et le phishing mobile

Le smishing — phishing par SMS — cible directement les numéros de téléphone personnels des salariés. Un message qui semble venir de La Poste, d’un service bancaire, ou d’un outil RH demande de cliquer sur un lien pour une mise à jour urgente. Sur mobile, ce lien peut rediriger vers une page de collecte d’identifiants professionnels ou déclencher le téléchargement d’une application malveillante.

Les salariés qui consultent leur messagerie professionnelle sur leur téléphone personnel reçoivent également les tentatives de phishing par email directement sur leur appareil — avec moins de protection qu’en entreprise (pas de passerelle email sécurisée sur le client Mail natif, pas d’extension de navigateur anti-phishing sur Chrome mobile).

Pourquoi les URLs sont plus difficiles à vérifier sur mobile

Sur un écran de 6 pouces, les interfaces email et navigateur masquent la majeure partie de l’URL. L’affichage tronqué de l’expéditeur (seul le nom affiché, pas l’adresse complète), la difficulté à voir le domaine complet dans la barre d’adresse du navigateur mobile, et la vitesse de lecture sur mobile (on scroll plus vite) créent des conditions idéales pour le phishing.

Dans les campagnes de simulation de phishing qui distinguent les clics selon le support, le taux de clic sur mobile est systématiquement plus élevé que sur poste de travail — parfois du simple au double. Cette donnée justifie d’inclure des scénarios de simulation mobile dans votre programme de sensibilisation.

Intégrer la dimension mobile dans votre programme de sensibilisation

Votre politique BYOD doit mentionner explicitement les risques liés au phishing mobile et les réflexes attendus :

Vérifier l’adresse complète de l’expéditeur avant toute action sur un email professionnel, même sur mobile
Ne jamais cliquer sur un lien dans un SMS ou message direct prétendant provenir d’un service interne
Signaler les emails suspects via le canal de signalement de l’entreprise, accessible depuis le mobile
Ne jamais saisir ses identifiants professionnels sur une page ouverte depuis un SMS ou un lien partagé sur messagerie personnelle

Pour tester la résistance de vos équipes sur ce vecteur spécifique, notre outil de test de sécurité email permet de configurer des campagnes ciblant les comportements sur mobile.

Le lien entre BYOD et cybersécurité en télétravail est également direct : consultez notre guide sur la cybersécurité en télétravail pour les mesures complémentaires à mettre en place.

Modèle de politique BYOD

Ce modèle couvre les clauses essentielles. Faites-le adapter par votre DPO ou un juriste avant diffusion — en particulier les clauses relatives à l’effacement à distance et aux sanctions.

POLITIQUE D’UTILISATION DES APPAREILS PERSONNELS (BYOD) [Raison sociale] — Version [X.X] — En vigueur à compter du [Date]

Article 1 — Objet et périmètre

La présente politique définit les conditions dans lesquelles les collaborateurs de [Raison sociale] sont autorisés à utiliser leurs appareils personnels (smartphones, tablettes) pour accéder aux ressources informatiques de l’entreprise. Elle s’applique à tout collaborateur ayant signé un avenant ou un formulaire d’adhésion spécifique.

La participation au programme BYOD est volontaire. Un salarié qui ne souhaite pas installer les outils de gestion requis sur son appareil personnel se verra proposer un équipement professionnel pour les usages concernés, dès lors que la nature de son poste le justifie.

Article 2 — Usages autorisés sur appareils personnels

Sont autorisés depuis un appareil personnel inscrit dans le programme BYOD :

Accès à la messagerie professionnelle via l’application approuvée par le service informatique
Accès aux outils collaboratifs suivants : [liste : Teams, Slack, etc.]
Accès aux applications métier suivantes : [liste des applications autorisées]
Connexion VPN aux ressources internes selon les modalités définies par le service informatique

Tout autre usage professionnel depuis un appareil personnel non inscrit est interdit.

Article 3 — Exigences minimales de l’appareil

Pour être éligible au programme BYOD, l’appareil doit satisfaire aux exigences suivantes :

Système d’exploitation : iOS 17 minimum / Android 13 minimum
Chiffrement du stockage : activé
Code de déverrouillage : PIN à 6 chiffres minimum ou biométrie avec PIN de secours
Verrouillage automatique : 5 minutes d’inactivité maximum
Mises à jour de sécurité : installées dans les 30 jours suivant leur publication par le fabricant
Espace de stockage disponible : 4 Go minimum

Le service informatique vérifie la conformité à l’inscription et peut contrôler celle-ci à tout moment via la console MDM.

Article 4 — Outil de gestion (MDM) et données collectées

L’inscription au programme BYOD nécessite l’installation du profil de gestion [nom de la solution MDM] sur l’appareil.

Ce que l’outil collecte :

Statut de conformité de l’appareil (version OS, chiffrement, verrouillage)
Applications professionnelles installées dans le conteneur géré
Date et heure du dernier accès aux ressources d’entreprise
Identifiant de l’appareil (IMEI ou identifiant MDM)

Ce que l’outil ne collecte pas :

Applications personnelles installées en dehors du conteneur géré
Contenu des messages, emails ou documents personnels
Historique de navigation personnel
Géolocalisation de l’appareil

Ces traitements sont déclarés dans le registre des traitements de [Raison sociale] conformément à l’article 30 du RGPD.

Article 5 — Effacement à distance

Le service informatique de [Raison sociale] dispose de la capacité d’effacer à distance les données d’entreprise stockées dans le conteneur géré (wipe sélectif). Cet effacement peut être déclenché dans les cas suivants :

Perte ou vol de l’appareil signalé par le collaborateur
Soupçon de compromission ou d’infection par un malware
Fin du contrat de travail du collaborateur (CDI, CDD, alternance, stage)
Non-conformité persistante aux exigences de sécurité après mise en demeure

Le collaborateur sera informé de l’effacement dès que les circonstances le permettent. En cas de perte ou vol, la notification peut intervenir après l’effacement pour limiter les risques.

[Si wipe complet prévu exceptionnellement :] Dans des cas exceptionnels impliquant un risque grave et immédiat pour les données de l’entreprise, et après validation de la direction, un effacement complet de l’appareil pourra être déclenché. Le collaborateur sera remboursé des données personnelles perdues selon les modalités définies à l’annexe [X].

Article 6 — Obligations du collaborateur

Le collaborateur qui participe au programme BYOD s’engage à :

Maintenir son appareil conforme aux exigences de l’article 3
Signaler immédiatement au service informatique toute perte, vol, ou suspicion de compromission de l’appareil
Ne pas désactiver ni contourner le profil de gestion installé
Ne pas transférer de données d’entreprise vers des applications personnelles non approuvées
Utiliser l’authentification MFA sur tous les accès professionnels depuis l’appareil
Signaler tout email ou message professionnel suspect via le canal de signalement désigné

Article 7 — Fin de participation au programme BYOD

À la fin de la participation au programme BYOD (départ de l’entreprise, demande de désinscription, changement de poste), la procédure suivante s’applique :

Le service informatique déclenche la suppression du profil de travail via la console MDM
Toutes les données et applications d’entreprise sont effacées du conteneur géré
L’appareil revient à un usage strictement personnel, sans aucune donnée d’entreprise
Un email de confirmation est envoyé au collaborateur avec la liste des éléments supprimés

Article 8 — Sanctions en cas de manquement

Le non-respect des présentes dispositions est susceptible d’entraîner la désinscription immédiate du programme BYOD et des sanctions disciplinaires selon la gravité des faits, conformément au règlement intérieur de l’entreprise.

Lu et approuvé — Je reconnais avoir pris connaissance de la présente politique et accepte les conditions d’utilisation, notamment la possibilité d’effacement des données d’entreprise mentionnée à l’article 5.

Nom et prénom : ______________________ Date : ______________________ Signature : ______________________

Cette politique doit être annexée à votre charte informatique et mentionnée dans le registre des traitements RGPD de l’entreprise.

FAQ

Le BYOD est-il légalement autorisé en France ?

Oui, le BYOD est légal en France à condition de respecter deux cadres : le droit du travail (vie privée du salarié sur son appareil personnel) et le RGPD (traitements de données liés à la gestion MDM). L’employeur ne peut pas imposer l’installation d’un MDM sur un appareil personnel sans accord explicite du salarié, matérialisé par une clause dans la politique BYOD signée. La CNIL rappelle que le principe de proportionnalité s’applique : les outils de gestion déployés ne doivent collecter que les données strictement nécessaires à la sécurisation des ressources professionnelles.

Quelle est la différence entre MDM, MAM et EMM ?

Le MDM (Mobile Device Management) gère l’appareil dans son ensemble : il peut appliquer des politiques système, effacer l’intégralité du téléphone, lire les applications installées. Le MAM (Mobile Application Management) gère uniquement les applications professionnelles et le conteneur de données associé, sans accès aux données personnelles. L’EMM (Enterprise Mobility Management) est le terme générique qui regroupe MDM, MAM et MCM (gestion du contenu). Pour le BYOD, le MAM ou un profil de travail Android/iOS est généralement plus approprié qu’un MDM full-device, car il respecte mieux la vie privée du salarié.

Peut-on effacer à distance le téléphone personnel d’un salarié ?

L’employeur peut effacer à distance les données d’entreprise stockées dans le conteneur géré par le MDM, à condition que cette possibilité ait été expressément mentionnée dans la politique BYOD signée par le salarié. Un effacement total de l’appareil personnel (wipe complet) ne peut être déclenché que dans des cas exceptionnels, prévus contractuellement, et exposera l’employeur à un recours si des données personnelles du salarié sont détruites. Privilégiez les solutions MDM qui distinguent wipe sélectif (données d’entreprise uniquement) et wipe total.

Que se passe-t-il en cas de fin de contrat d’un salarié en BYOD ?

La politique BYOD doit prévoir un protocole de désinscription : lors du dernier jour du salarié, le service informatique déclenche la suppression du profil de travail via le MDM, ce qui efface les données et applications d’entreprise sans toucher aux données personnelles. L’appareil est alors rendu à un usage strictement personnel. La procédure doit être documentée et le salarié doit en avoir été informé à la signature de la politique. Une liste des données d’entreprise potentiellement accessibles (emails, contacts, fichiers) aide à vérifier que l’effacement est complet.

Le BYOD s’applique-t-il aux tablettes et ordinateurs portables personnels ?

La politique BYOD peut couvrir tous les appareils personnels — smartphones, tablettes, ordinateurs portables. En pratique, la grande majorité des PME françaises limitent le BYOD aux smartphones pour l’accès à la messagerie et à quelques applications mobiles, et interdisent l’usage d’ordinateurs personnels pour accéder aux ressources d’entreprise. Les ordinateurs personnels posent des risques bien plus élevés (logiciels installés, réseau domestique, partage familial) et les solutions MDM PC sont plus intrusives. Chaque extension du périmètre BYOD doit s’accompagner d’une évaluation des risques spécifique.

Comment gérer les appareils personnels lors des déplacements à l’étranger ?

Les déplacements à l’étranger exposent les appareils BYOD à des risques supplémentaires : confiscation par des autorités douanières dans certains pays, attaques sur les réseaux locaux, rogue hotspots. L’ANSSI recommande d’emporter des appareils dédiés aux déplacements sensibles et d’éviter d’utiliser les appareils personnels contenant des données d’entreprise dans les pays à risque élevé (cyber.gouv.fr). Votre politique BYOD doit mentionner ces restrictions et prévoir un protocole de vérification à la réintégration.

Une simulation de phishing peut-elle cibler les appareils personnels des salariés ?

Oui, et c’est recommandé. Les simulations de phishing ciblant les adresses email professionnelles atteignent les salariés qu’ils consultent leur messagerie depuis leur poste de travail ou depuis leur téléphone personnel. Pour les salariés en BYOD, les simulations révèlent des comportements spécifiques : tendance à cliquer plus rapidement sur mobile, difficulté à vérifier l’URL complète d’un expéditeur sur un petit écran, absence de solution de sécurité email sur le navigateur mobile. Ces données justifient des sessions de sensibilisation ciblées pour les équipes fortement mobiles.

Votre politique BYOD est en place — mais vos équipes savent-elles résister au phishing sur mobile ? Une politique cadre les usages. Les simulations de phishing mesurent les comportements réels, y compris sur les appareils personnels. Lancez votre première campagne gratuitement — résultats en 48h, sans installation.

Sources

CNIL, Recommandations sur le BYOD et la protection des données des salariés — cnil.fr
CNIL, Guide pratique pour les responsables de traitement, mesures de sécurité — cnil.fr
CNIL, Délibération sur la surveillance des salariés et les outils de gestion MDM — cnil.fr
ANSSI, Guide de sécurité des appareils mobiles en entreprise — cyber.gouv.fr
ANSSI, Recommandations de sécurité pour les systèmes mobiles — cyber.gouv.fr
Code du travail, article L.1222-9 (télétravail) — legifrance.gouv.fr
Règlement (UE) 2016/679 du 27 avril 2016 (RGPD), articles 5, 13, 25, 30, 32
Android Enterprise, documentation sur les profils de travail — developer.android.com
Apple, documentation sur la gestion des appareils mobiles (MDM) — developer.apple.com
Microsoft, documentation Intune pour les appareils personnels (BYOD) — learn.microsoft.com

Tester la résistance au phishing de vos équipes mobiles | Compléter avec une charte informatique