En 2026, presque toutes les PME suisses que j’accompagne sont confrontées au BYOD (Bring Your Own Device) — que ce soit de façon organisée ou subie. Les collaborateurs utilisent leur smartphone personnel pour lire leurs emails professionnels, leur ordinateur portable personnel pour travailler à domicile, leur tablette pour accéder aux outils de l’entreprise. Le problème : dans 70 % des PME de moins de 30 collaborateurs que j’ai auditées, cette réalité s’est développée sans politique BYOD formelle, créant des risques que les dirigeants n’avaient pas anticipés. Votre entreprise est-elle dans cette situation ?
Définir le BYOD et ses implications pour une PME suisse
Le BYOD désigne toute politique (ou absence de politique) permettant aux collaborateurs d’utiliser leurs appareils personnels — smartphones, ordinateurs portables, tablettes — pour accéder aux ressources et données de l’entreprise. C’est le pendant technologique du travail hybride : les deux se développent ensemble et créent des défis similaires en matière de gestion des données et de sécurité.
Pour une PME suisse, le BYOD soulève quatre catégories de questions :
Questions de sécurité. Les appareils personnels ne sont pas gérés par le service informatique de l’entreprise. Ils peuvent contenir des logiciels malveillants, des applications non sécurisées, ou avoir des configurations réseau non conformes aux standards de l’entreprise.
Questions juridiques (nLPD). Si des données personnelles de clients ou de collaborateurs transitent sur un appareil privé, la nouvelle Loi fédérale sur la Protection des Données (nLPD) impose des obligations de protection qui s’appliquent aussi bien aux appareils de l’entreprise qu’aux appareils personnels utilisés à des fins professionnelles.
Questions contractuelles et RH. Que se passe-t-il en cas de perte ou vol d’un appareil personnel contenant des données d’entreprise ? Qui prend en charge les coûts de réparation si l’appareil est endommagé lors d’un usage professionnel ? Ces questions doivent être réglées contractuellement.
Questions de confidentialité du collaborateur. Si l’entreprise impose des logiciels de surveillance ou de gestion d’appareils (MDM — Mobile Device Management) sur l’appareil personnel du collaborateur, des questions de vie privée se posent. Le droit suisse du travail (CO art. 328) protège la sphère privée des employés.
Les risques réels du BYOD non géré dans les PME suisses
Un cas concret tiré de mon expérience de conseil : une PME de services financiers à Genève (18 collaborateurs) avait développé une pratique BYOD informelle depuis le COVID. Lors d’un audit de conformité nLPD que j’ai réalisé en 2024, nous avons découvert que des données clients confidentielles (informations financières, numéros de contrats) étaient accessibles depuis les smartphones personnels de 12 collaborateurs — sans chiffrement, sans authentification renforcée, et sans possibilité de suppression à distance en cas de perte.
Le risque n’était pas seulement légal — en cas de fuite de données, la PME aurait été exposée à des amendes et à des litiges clients. Le risque était aussi opérationnel : deux anciens collaborateurs avaient encore accès aux données de l’entreprise via leurs appareils personnels, longtemps après leur départ.
Mettre en place une politique BYOD efficace et conforme
Une politique BYOD efficace pour une PME suisse n’a pas besoin d’être complexe. Voici les éléments essentiels :
La séparation des environnements. La solution la plus simple : créer un espace professionnel séparé sur l’appareil personnel via une application container (Microsoft Intune, VMware Workspace ONE). L’environnement professionnel est chiffré, gérable à distance, et isolé des applications personnelles. En cas de perte ou de départ d’un collaborateur, seul l’espace professionnel peut être supprimé à distance — pas les données personnelles.
L’authentification renforcée. Exiger une authentification à deux facteurs (2FA) pour tous les accès aux ressources de l’entreprise depuis un appareil personnel est une mesure de sécurité de base. Les outils Microsoft 365, Google Workspace, ou les VPN professionnels permettent de mettre en place cette exigence simplement.
La politique écrite et signée. Rédiger une politique BYOD claire (qui peut accéder à quoi, sur quel type d’appareil, avec quelles règles de sécurité) et la faire signer par chaque collaborateur est une étape juridique essentielle. Cette politique doit être incluse dans le règlement intérieur ou le contrat de travail. En Suisse, cette formalisation protège l’employeur et clarife les droits et obligations de chacun.
La formation de sensibilisation. Une politique n’est efficace que si les collaborateurs la comprennent et l’appliquent. Une session de sensibilisation de 2 heures sur les bonnes pratiques de sécurité numérique au bureau et à domicile est un investissement minimal avec un retour maximal.
La question n’est pas de savoir si votre PME doit avoir une politique BYOD — elle doit en avoir une. La question est : est-elle formalisée et appliquée, ou informelle et risquée ? Je t’invite à faire cet audit rapidement, avant qu’un incident ne force la décision.
Pour consulter les textes de référence, rendez-vous sur PME.admin.ch.
Mercredi dernier, chez un fabricant de matériel médical en région de Fribourg, j’ai trouvé une situation typique : 23 employés utilisaient leur smartphone personnel pour accéder aux emails professionnels — sans MDM, sans politique BYOD écrite, sans clause dans les contrats de travail. Le responsable informatique savait que c’était risqué mais n’avait jamais obtenu l’autorisation budgétaire pour corriger le problème. Une matinée de travail nous a suffi pour définir les règles essentielles. Ce type de risque mérite une réponse immédiate, pas un report à l’exercice suivant.