La charte informatique : pourquoi la mettre en place ?

par
5
Consulter Me Smadja

Sommaire

Les dirigeants d’entreprise ont récemment pris conscience que la protection de leur entreprise passait notamment par une bonne sécurisation des systèmes d’information mis à la disposition de leurs salariés, partenaires ou adhérents.

L’augmentation des cyberattaques, l’expansion recours au télétravail, l’utilisation des réseaux sociaux l’adoption du règlement européen RGPD (Règlement Général sur la Protection des Données) entré en vigueur le 25 mai 2018, sont autant d’évènements qui ont mis en lumière l’importance de la charte informatique au sein de l’entreprise.

Or, aujourd’hui encore, son rôle et sa portée demeurent flous, alors même qu’il s’agit d’un document capital pour garantir le bon fonctionnement de toute entreprise. Cet article tentera de répondre aux questions qui se posent le plus souvent au moment de l’adoption et la rédaction d’une charte informatique : est-elle obligatoire ? Qu’encadre-t-elle ? Quelles sanctions en cas de manquement ? Quelles sont les recommandations officielles ?

 

1/ Qu'est-ce qu'une charte informatique ?

 

La charte informatique est un document visant à encadrer l’utilisation que font les salariés d’une entreprise des technologies de l’information et de la communication mises à leur disposition (messagerie électronique, Internet, logiciels, serveurs…).

Son objectif est de garantir l’équilibre entre d’une part, le droit de l’employeur à garantir l’efficacité et la sécurité de son système d’information, et d’autre part le droit du salarié au respect de sa vie privée, en conformité avec le RGPD.

 

2/ Est-elle obligatoire en entreprise ? 

 

La mise en place d’une charte informatique est obligatoire au sein de toute entreprise amenée à traiter des données personnelles, qu’il s’agisse d’un traitement numérique ou non.

On parle de traitement de données personnelles dès lors qu’une opération menée par l’entreprise (collecte, enregistrement, consultation ou communication) concerne des données personnelles (nom, prénom, numéro de téléphone, caractéristiques physiologiques, économiques, sociales…). Par exemple, un fichier client ou fournisseur contient le plus souvent des données personnelles. 

L’adoption d’une charte informatique est prise à l’initiative du dirigeant d’entreprise et sa rédaction est unilatérale. Elle ne peut donc faire l’objet d’aucune négociation.

Son application au sein de l’entreprise est possible uniquement lorsque les conditions suivantes sont réunies :

  • les salariés en ont pris connaissance et l’ont acceptée : il peut s’agir d’un document à part entière qui devra faire l’objet d’une signature, ou bien d’une annexe au contrat de travail ou encore enfin d’une annexe au règlement intérieur (un règlement intérieur est obligatoire dans toute entreprise de plus de 20 salariés) ;
  • le conseil social et économique a été consulté préalablement ;
  • la charte informatique a été déposée au greffe du conseil de prud’hommes ;
  • la charte informatique a été communiquée à l’inspection du travail.

 

3/ Quel est son rôle, son champ d'application et les pratiques qu'elle vise à encadrer ? 

 

En pratique, les règles contenues dans la charte numérique visent à encadrer d’une part l’usage autorisé des outils numériques afin de garantir notamment que toute utilisation pour un usage personnel soit raisonnable et autorisée (en conformité avec les règles régissant le droit d’auteur sur internet, en prohibant l’accès à des sites illicites…) ; et vise à préserver d’autre part les droits des salariés en encadrant les modalités de contrôle effectuées par l’entreprise, et les sanctions en cas de manquement.

Le rôle de la charte informatique est donc à la fois de :

  • garantir à l’entreprise un bon usage des outils informatiques que la société met à disposition de ses salariés ;
  • informer les salariés des pratiques autorisées, de l’existence de moyens de contrôle et de collecte de données pour les faire respecter, et des sanctions encourues en cas de manquement ;
  • garantir aux salariés une utilisation de leurs données conforme au RGPD.

 

Le champ d’application de la charte informatique est étendu à tous les utilisateurs du système informatique de l’entreprise (salariés, partenaires, adhérents…) et concerne l’ensemble des outils informatiques ou reliés à l’informatique de l’entreprise (ordinateurs, serveurs informatiques, photocopieurs, téléphones et tablettes, outils de connexion incluant clé USB, logiciels, messagerie…).

Les pratiques que la charte informatique sert à encadrer sont notamment les suivantes :

  • l’utilisation du matériel informatique : les bonnes pratiques en la matière comprennent les mises à jour régulières, l’acceptation et le respect des droits d’utilisation des logiciels fournis, le téléchargement de logiciels externes... ;
  • l’utilisation de la messagerie : le plus souvent le contrôle de l’utilisation de la messagerie professionnelle passera par une limite de taille d’envois, du nombre de destinataires. Elle offre également la possibilité à l’entreprise de contrôler les messages – à l’exception de ceux dont la nature personnelle ou privée serait clairement signalée ;
  • l’utilisation d’Internet : le contrôle de l’utilisation d’internet passera par le filtrage de certaines pages, accompagné le plus souvent par un message alertant l’utilisateur que la page à laquelle l’accès est demandé est interdite. Les salariés doivent être informés du système de filtrage mise en place ;
  • les réseaux sociaux : si l’accès est autorisé les salariés auront le plus souvent une interdiction formelle de communiquer sur leur entreprise sur les réseaux sociaux quelle que soit leur nature.  

 

4/ Quelles mentions légales doit-elle contenir ? 

 

La charte informatique devra préciser le champ d’application et les pratiques qu’elle sert à encadrer, rappelées au paragraphe précédent.

Elle devra en outre obligatoirement contenir au moins les mentions relatives aux thèmes suivants : 

  • sanctions encourues en cas de manquement aux règles prévues par la charte informatique (pour plus de précisions un paragraphe y est consacré ci-après) ;
  • droit à la déconnexion des salariés : l’utilisation de l’informatique concerne aussi le droit de ne pas se connecter à certaines heures ou pendant certaines périodes ;
  • règles d’utilisation des systèmes d’information de la société y compris à distance ;
  • types de contrôles effectués par la société : les salariés doivent être informés de manière claire et précise des contrôles effectués par l’entreprise et de l’accès à leurs données personnelles et aux données de connexion ainsi que la durée de conservation des données ;
  • sécurité et à confidentialité des données : les salariés accèdent classiquement à leur poste de travail numérique ou à la messagerie via l’utilisation de mots de passe, la charte informatique précisera alors dans quelle mesure ils sont transmissibles, quand ils doivent être changés… ; 
  • référence au RGPD.

 

5/ Quelles sanctions peut-elle prévoir en cas de non-respect des règles ? 

 

Les sanctions en cas de manquement aux règles prévues par la charte informatique peuvent rester internes à l’entreprise et prendre la forme de sanctions disciplinaires mais elles peuvent aussi être de nature judiciaire. Les sanctions peuvent viser tant l’entreprise que les salariés.

Les sanctions visant les salariés sont celles classiquement prévues pour toute violation du règlement intérieur à savoir, dans l’ordre de gravité : l’avertissement, la mise à pied, le blâme. En fonction de la gravité de la faute constatée ou de son éventuelle répétition, la sanction peut aller jusqu’au licenciement. Elles doivent être expressément prévues par la charte informatique.

En cas de violation caractérisée des droits des salariés, l’entreprise encourt également des sanctions. Si ces sanctions ne sont pas nécessairement établies par la charte informatique elles n’en restent pas moins effectives et le salarié qui aura constaté une violation de ses droits garantis par la charte informatique – y compris par référence au RGPD – sera bien fondé à en demander réparation devant les tribunaux.

 

6/ Quelles sont les recommandation de la CNIL ? 

 

La CNIL a publié une fiche pratique qui synthétise ses recommandations en matière de charte informatique. Elle a par ailleurs mis en place une plateforme permettant de répondre à certaines questions précises et propose également que des chartes informatiques soient soumises à son avis, en particulier pour ce qui concerne les dispositions visant la protection des données personnelles.

Concernant par exemple le maintien de la confidentialité des données de l’entreprise auxquelles les salariés peuvent avoir accès, la CNIL conseille de faire signer aux salariés une charte de confidentialité, c'est-à-dire un engagement de confidentialité qui peut être prévu dans le contrat de travail directement. Les personnes ayant accès à des données personnelles s'engagent ainsi notamment à ne pas divulguer ou copier ces informations.

De manière plus générale, la CNIL recommande afin de garantir la bonne mise en œuvre de la charte informatique de prévoir des rappels réguliers - sous forme d’e-mail ou tout autre type de communication habituellement utilisé (réunion, communication interne, affichage…) - des règles applicables et des bonnes pratiques.

Des réunions de sensibilisations peuvent également être envisagées, par exemple dans les cas où l’entreprise assouplit les règles en matière de travail à distance (télétravail). 

 

7/ Pourquoi se faire accompagner par un avocat ? 

 

S’agissant d’un outil juridique encadré par des textes, notamment par le Code du travail et le RGPD, et prévoyant le plus souvent des sanctions pouvant mener à des procédures judiciaires, il est recommandé de faire appel à un avocat pour rédiger la charte informatique.

L’employeur qui met en place une charte informatique au sein de son entreprise doit veiller à ce que la charte ne prévoit pas d’obligations trop contraignantes pour les salariés dont les droits et libertés en matière d’utilisation des outils informatiques mis à leurs dispositions doivent être respectés. Le recours à un avocat au fait des évolutions de la jurisprudence et des textes en constante mutation permettra de garantir au dirigeant d’entreprise que sa charte informatique est à jour et applicable.

Enfin, s’il existe de nombreux modèles disponibles en ligne, il est important que la charte informatique soit adaptée à l’entreprise, en fonction de son utilisation des outils numériques par les salariés, du nombre de salariés, du type d’emploi etc… Seule une charte sur mesure protégera efficacement les ressources informatiques, les salariés, et le dirigeant.

Me Julien Smadja

Écrit par

Me Julien Smadja

Diplômé en droit des affaires et fiscalité au sein de l’Université Paris I Panthéon-Sorbonne, Julien Smadja a exercé au sein de grandes entreprises françaises et internationales spécialisées en droit des affaires, avant de rejoindre DJS Avocats en qualité de collaborateur. Il intervient, tant en conseil qu’en contentieux, sur toutes les problématiques liées au droit des affaires, des nouvelles technologies et du RGPD

Posez votre question à Me Julien Smadja

Besoin d'accompagnement pour rédiger votre charte informatique ? Contactez Me Smadja

Tous les articles similaires

Consultez nos articles pour parfaire vos connaissances

Pourquoi la SAS est le statut juridique de la startup ?

Votre idée ou concept voit le jour et vous vous interrogez sur le statut juridique à même de ...

Me Julien Smadja

Me Julien Smadja

PIA (Privacy impact assessment) : pourquoi réaliser cette étude ?

Le Privacy impact assessment (PIA) ou l'Étude d’impact sur la vie privée (EIVP) est une obligation ...

Me Julien Smadja

Me Julien Smadja

Financement startup : comment trouver des subventions ?

Vous avez une idée et souhaitez la développer en vous lançant dans l'entrepreneuriat en créant une ...

Me Julien Smadja

Me Julien Smadja

Les CGV d’une agence web

On parle d’agence web pour désigner les métiers du secteur de la communication : des sociétés de ...

Me Julien Smadja

Me Julien Smadja

Le DPO est-il obligatoire pour votre entreprise ?

Avant même le 25 mai 2018, date de son entrée en application, l’ombre du Règlement Général sur la ...

Me Julien Smadja

Me Julien Smadja

La sensibilisation de l'entreprise au RGPD : une étape obligatoire

Le 14 avril 2016, le Règlement Général sur la Protection des Données (RGPD) a été adopté au sein de ...

Me Julien Smadja

Me Julien Smadja

Qu’est-ce qu’une charte/politique de confidentialité ?

En raison du fort développement des services en ligne, les données personnelles des utilisateurs ...

Me Julien Smadja

Me Julien Smadja

La charte informatique : pourquoi la mettre en place ?

Les dirigeants d’entreprise ont récemment pris conscience que la protection de leur entreprise ...

Me Julien Smadja

Me Julien Smadja

Commentaires

Laisser un commentaire

Vous avez démarré un dossier de chez nous… Vous pouvez le reprendre dès maintenant !

Reprendre votre dossier