Charte Informatique en PME : Guide Complet pour une Utilisation Sécurisée des Outils Numériques

Le développement des technologies et des innovations, ainsi que leur omniprésence au sein des entreprises, ont conduit à un constat indéniable : l’élaboration d’une charte informatique est devenue incontournable. Véritable gage de sécurité, elle fixe les conditions d’utilisation des outils informatiques et de communication mis à la disposition des salariés.

Dans le détail, qu’est-ce qu’une charte informatique en entreprise ? Est-elle obligatoire ? Qui la rédige et la signe ? Comment son application est-elle contrôlée ? Comment s’y prendre pour l’élaborer ? Découvrez tout ce qu’il faut savoir sur la charte informatique dans cet article.

Charte Informatique

Qu'est-ce qu'une Charte Informatique en Entreprise ?

Une charte informatique est un document juridique qui contient les règles applicables, les droits, les obligations et les sanctions concernant l’utilisation et l’usage des moyens de communication électroniques de l’entreprise tels que :

  • Internet
  • Un logiciel
  • Une messagerie électronique
  • Un serveur

La charte informatique est communiquée par l’employeur aux salariés de l’entreprise.

Dans le respect des dispositions de l’article L1222-4 du Code du travail, la charte informatique informe les salariés des éventuels dispositifs de surveillance informatique mis en place (filtrage de message, contrôle de l’historique de navigation…).

Lire aussi: Rédaction d'une demande de financement

À quoi sert la charte informatique dans une entreprise ?

L’utilité essentielle de la charte informatique est d’informer les salariés de leurs droits et obligations lors de l’utilisation des systèmes d’information et de communication, d’internet ou encore des services multimédias de l’entreprise. En cas d’utilisation contraire à ce qui est prévu dans la charte, l’employeur peut sanctionner le collaborateur fautif. Les sanctions y sont d’ailleurs détaillées.

Pour résumer, la charte informatique répond à 4 enjeux majeurs :

  • Elle sécurise, juridiquement et techniquement, les données collectées et traitées par l’entreprise.
  • Elle informe les salariés sur les outils informatiques mis à leur disposition et sur les outils de surveillance installés.
  • Elle prévient contre toute utilisation contraire ou abusive de ces outils en détaillant les conditions dans le respect desquelles ils doivent être utilisés et les sanctions applicables en cas de non-respect.
  • Elle sanctionne le non-respect des dispositions prévues.

Pourquoi intégrer une charte informatique dans votre entreprise ?

Étant donnée la vitesse avec laquelle de nouvelles technologies (logiciels, solutions SaaS, équipements, IA…) intègrent les PME et les ETI, il va de soi qu’un encadrement est nécessaire pour contrôler tous ces nouveaux points d’entrée à vos ressources numériques.

Prenons quelques exemples quotidiens pour illustrer l’intérêt de la charte :

  • Sécurité des SI : une charte informatique aide à protéger les systèmes d’information de l’entreprise contre les cyberattaques et les accès non autorisés.
  • Conformité légale : de nombreuses réglementations, comme le RGPD, exigent des entreprises qu’elles assurent la protection des données personnelles.
  • Règles d’usage du poste : la charte précise les bonnes pratiques pour utiliser le matériel informatique de manière sûre et efficace.
  • Création des mots de passe : elle établit des exigences pour des mots de passe sécurisés afin de protéger les comptes utilisateur.
  • Emploi des messageries électroniques : la charte encourage une utilisation responsable pour éviter les menaces telles que le phishing.
  • Usage d’Internet et des réseaux sociaux : elle limite l’accès aux sites non sécurisés ou inappropriés pour minimiser les risques.
  • Utilisation à distance : elle définit les mesures de sécurité pour le télétravail, y compris l’utilisation de VPN et la protection des connexions à distance.
  • Emploi d’ordinateurs personnels : elle réglemente l’usage de dispositifs personnels pour le travail (BYOD : Bring Your Own Device) afin de prévenir les failles de sécurité.
  • Droit à la déconnexion : elle précise les règles à respecter concernant les temps de repos des salariés, en s’assurant qu’ils ne sont pas sollicités en dehors des heures de travail.
  • Amélioration de la productivité : elle participe à encadrer les distractions numériques en fixant des limites claires pour un environnement de travail plus productif.
  • Responsabilisation des employés : la charte aide à prendre conscience des responsabilités de chacun en matière de sécurité numérique et des conséquences possibles en cas de non-respect des règles.

Différences avec la charte de confidentialité

Il faut différencier la charte informatique de la charte de confidentialité, qui sont toutefois complémentaires.

Lire aussi: Exemple concret : Cycle de Financement

Voici un petit tableau récapitulatif pour comprendre leurs rôles et différences :

Aspect Charte informatique Charte de confidentialité
Objectif Vise à définir les règles d’utilisation des systèmes d’information de l’entreprise. Couvre les aspects pratiques de l’utilisation des outils numériques, détaille les droits et obligations des utilisateurs, ainsi que les mesures de contrôle et les sanctions en cas de non-respect. Informe sur la manière dont une entreprise collecte, utilise, stocke et protège les données personnelles. Principalement orientée vers le respect des obligations légales liées au RGPD et autres lois sur la protection des données.
Portée S’applique à l’ensemble des employés et concerne l’utilisation des ordinateurs, réseaux, messageries électroniques, et autres ressources numériques de l’entreprise. S’applique aux données personnelles des clients, employés et partenaires de l’entreprise, expliquant comment ces informations sont gérées.
Contenu Inclut des directives sur la sécurité informatique, les bonnes pratiques à adopter pour éviter les risques, et les restrictions d’usage des outils professionnels. Détaille les types de données collectées, les raisons de leur collecte, la manière dont elles sont protégées, et les droits des individus concernant leurs données personnelles.

Règlement intérieur et charte informatique : deux outils indispensables du chef d’entreprise

Qui est concerné par la charte informatique en entreprise ?

Il n’existe pour le moment (2024) aucune obligation légale à mettre en place une charte informatique en entreprise. Mais la CNIL et d’autres organismes de réglementation recommandent vivement sa création pour encadrer l’usage des outils numériques et sensibiliser les employés aux risques liés à la cybersécurité. C’est aussi un pas supplémentaire pour se mettre en conformité avec la loi Informatique et Liberté.

Ce document est davantage recommandé pour les entreprises qui traitent des données personnelles, afin de se conformer aux réglementations telles que le RGPD. Mais de manière générale, toute société utilisant des moyens informatiques et des outils numériques devrait dès maintenant considérer sa création.

Concernant l’obligation de respect de la charte au sein de l’entreprise une fois implémentée, il existe 3 options :

  • demander l’accord signé des salariés
  • annexer la charte informatique au contrat de travail
  • annexer la charte informatique au règlement intérieur (document obligatoire pour toute PME de plus de 20 salarié·es)

Qui rédige les chartes informatiques des entreprises ?

Il appartient à l’employeur de rédiger une charte informatique dans son entreprise. Cette décision est unilatérale.

Lire aussi: Les produits dérivés expliqués

À qui confier la tâche de créer la charte informatique ?

La production de ce document ne peut pas être l’objet d’un travail en solitaire, même dans une petite PME. Déjà parce qu’il va impacter tous les salarié·es de l’établissement : ils ont le droit d’être informé·es. Ensuite, parce qu’un processus collaboratif permet de réunir le meilleur des différentes parties prenantes, qui ont des expertises et des besoins spécifiques. Enfin, parce que vous voulez vous assurer que la charte soit réaliste et applicable.

Vous pourriez par exemple former une équipe composée d’un responsable pour chaque département, qui apportera son avis pour la conception et la rédaction :

  • équipe IT et de sécurité informatique : sections techniques de la charte
  • ressources humaines : sections relatives aux droits et obligations des employés, mesures disciplinaires en cas de non-respect des règles, RGPD, pratiques éthiques
  • service juridique : conformité aux obligations légales, conseils sur la rédaction des clauses aux implications légales
  • production, vente, comptabilité, communication… : sections relatives aux outils de production, pour ne pas entraver la productivité
  • direction générale : orientation stratégique, charte alignée sur les objectifs globaux de l’entreprise, approbation finale, mise en œuvre

Rien ne vous empêche de faire appel à des consultant·es externes (spécialistes en sécurité de l’information, expert·es en transformation numérique…) pour vous accompagner, notamment si vous ne disposez pas des ressources humaines nécessaires en interne.

La préparation de la charte : que faut-il vérifier ?

La préparation de la politique informatique nécessite une évaluation minutieuse des besoins de votre entreprise et des mesures de sécurité déjà en place ou à créer.

Voici les grandes étapes à suivre la conception de votre document :

  • analyser les risques liés à l’utilisation de chaque système d’information : cyberattaques, perte de données, accès non autorisé, phishing…
  • répertorier tous les outils numériques utilisés : logiciels, appareils, réseaux…
  • s’assurer de la conformité au RGPD (Règlement Général sur la Protection des Données)
  • adapter la charte à la culture et aux valeurs de votre organisation
Cybersécurité

Comment porter une charte informatique à la connaissance des salariés ?

La charte informatique peut être :

  • Annexée au contrat de travail du salarié.
  • Annexée au règlement intérieur de l’entreprise.
  • Envoyée indépendamment à tous les salariés.

La charte graphique est signée par le salarié. La signature rend le document opposable à son signataire. Tout manquement à cette charte peut ainsi être puni, selon les modalités fixées par le texte lui-même.

Il est parfaitement possible d’un point de vue légal de signer électroniquement une charte informatique. La signature électronique a la même valeur juridique qu’une signature manuscrite.

Comment rédiger une charte informatique ?

Vous souhaitez rédiger une charte mais vous ne savez pas comment faire ? Voici les bonnes pratiques d’écriture.

Les informations contenues dans une charte informatique sont variables d’une entreprise à une autre. En fonction de l’activité de l’entreprise, de son environnement de travail, de sa politique informatique et de ses outils, les clauses figurant dans la charte sont individualisées.

Les 8 points indispensables dans la création de la charte informatique

Il n’existe pas de format formel, ni d’obligations dans la structure. Seulement des recommandations réunies en 8 sections, que vous adapterez en fonction de votre établissement et de ses besoins.

Point 1 : Rappel de l’objectif de la charte

La charte informatique a pour objectif principal de préserver la sécurité du système d’information de l’entreprise et de responsabiliser chaque utilisateur dans cet effort.

Elle établit un cadre clair qui informe les employés sur les usages permis et les bonnes pratiques à adopter. En outre, elle définit les mesures de contrôle mises en place par l’employeur et les sanctions applicables en cas de non-respect des règles.

Pour être efficace, la charte doit être rédigée de manière claire et compréhensible, quel que soit le niveau de familiarité des utilisateurs avec l’informatique. Elle sert également de support juridique en cas de contentieux, en fournissant un cadre pour la collecte de preuves numériques.

Point 2 : Des définitions claires et précises

Tout au long du document, vous veillez à inclure des définitions claires et précises des termes techniques et des concepts utilisés. Cela permet de limiter les interprétations juridiques ambiguës et d’assurer une compréhension uniforme parmi tous les utilisateurs. Votre service juridique sera d’une grande aide ici.

Par exemple :

  • système d’information : ensemble des infrastructures informatiques et numériques utilisées par l’entreprise (serveurs, réseaux, logiciels…)
  • utilisateur : toute personne ayant accès aux systèmes d’information de l’entreprise (employé, partenaire, sous-traitant…)
  • authentification : méthodes utilisées pour vérifier l’identité des utilisateurs (mots de passe, cartes d’accès, dispositifs biométriques…)
  • messagerie électronique : système de communication électronique utilisé pour envoyer et recevoir les courriels professionnels
  • données personnelles : toute information relative à une personne identifiée ou identifiable, conformément au RGPD
  • etc.

Point 3 : L’objet et la portée de la charte

La charte doit clairement indiquer son objet et sa portée, c’est-à-dire les droits et devoirs des utilisateurs concernant l’utilisation des systèmes d’information de l’entreprise.

Le préciser permet de définir clairement les règles applicables et d’assurer que tous les utilisateurs comprennent leurs responsabilités et les limites de leur utilisation des systèmes d’information. Cela aide à établir un cadre structuré qui réduit les risques de comportements inappropriés ou non conformes.

Point 4 : Les règles d’usage des SI

La charte informatique établit clairement l’étendue des usages des systèmes d’information et des outils numériques mis à disposition par l’entreprise. Le cas classique est l’exemple de la création d’un fichier personnel par un·e salarié·e dans un cadre professionnel, sur un ordinateur de l’entreprise.

Point 5 : Les devoirs des utilisateurs

La charte doit clairement énoncer les devoirs des utilisateurs concernant l’utilisation des systèmes d’information. Ces devoirs découlent directement des usages autorisés définis par la charte et visent à responsabiliser les utilisateurs dans la protection des ressources numériques de l’entreprise.

Le document peut notamment évoquer :

  • le respect de la confidentialité et la discrétion concernant les données sensibles
  • l’utilisation des moyens de chiffrement mis à disposition
  • la protection des moyens d’authentification envers des tiers
  • l’utilisation de mots de passe sécurisés, conformes aux bonnes pratiques de sécurité
  • la gestion de données externes pour une importation en interne
  • la responsabilité juridique des utilisateurs vis-à-vis de la sécurité de l’entreprise

Ces mesures doivent être proportionnées aux objectifs poursuivis et conformes aux lois en vigueur (articles L1121-1 et L1222-4 du Code du travail). Cela concerne par exemple :

  • la surveillance des connexions Internet
  • l’analyse des flux de données

Comment contrôler la bonne application de la charte informatique ?

Afin d’anticiper tout comportement néfaste, la charte informatique définit elle-même les mesures de contrôle qui peuvent être mises en place par l’employeur.

Ces mesures peuvent être étendues et sur des périodes longues pour pouvoir être dissuasives.

Attention toutefois, les mesures de contrôle choisies ne doivent pas contrevenir au droit existant. Ainsi, par application de l’article L1121-1 du Code du travail, les restrictions des libertés individuelles imposées par l’employeur doivent être justifiées au regard de la fonction du salarié ou de l’objectif poursuivi par l’employeur.

Par d’exemple et conformément à l’article L1222-4 du Code du travail, l’employeur est tenu, dans la charte informatique, d’informer ses salariés des moyens de surveillance informatique mis en en place dans le but de contrôler leurs activités.

Que se passe-t-il en cas de non-respect de la charte informatique ?

La charte informatique ayant une valeur juridique, son non-respect peut donner lieu, sous conditions, à des sanctions disciplinaires. Ces sanctions doivent être fixées par la charte elle-même.

En vertu de l’article L1331-1 du Code du travail, une sanction est une mesure prise par l’employeur à la suite d’un agissement du salarié considéré par l’employeur comme fautif.

Il peut s'agir d’un blâme, d’un avertissement, d’une mise à pied. La sanction ultime est le licenciement dans l’hypothèse où la violation de la charte est de nature a caractérisé une faute grave.

Toutefois, pour être valable et avoir un caractère contraignant, la charte informatique, si elle est annexée au règlement intérieur, doit :

  • Avoir été communiquée au CSE (Comité Social et Économique) pour avis (article L1321-4, alinéa 1er du Code du travail).
  • Être déposée au greffe du Conseil de prud’homme (article R1321-2 du Code du travail).
  • Être communiquée à l’inspection du travail (article L1321-4, alinéa 3 du Code du travail).
  • Être portée à la connaissance des salariés en l’annexant soit au contrat de travail soit au règlement intérieur.

Si elle est annexée au contrat de travail, la charte informatique n’est opposable qu’aux salariés qui ont signé le contrat après l’entrée en vigueur de la charte.

balises: #Pme

Articles populaires: