Cette évolution nécessite dès lors la mise en place d’une politique stricte en matière de sécurité des systèmes d’information.
En outre au regard du respect du RGPD, toutes les entreprises traitant des données personnelles, qu’elles appartiennent au secteur privé ou public, doivent mettre en place une charte informatique afin de définir les règles d’utilisations des systèmes d’information d’une entreprise, mis à la disposition de ses employés. Elle prévoit également les risques encourus dans le cas du non-respect de ces règles et des obligations liées au RGPD.
Si la nécessité de cette charte en vue de réglementer l’utilisation des systèmes d’informations au sein de l’entreprise apparaît d’une nécessité évidente, sa rédaction peut, quant à elle, se révéler plus ardue.
1. Définition.
La charte informatique est un instrument juridique qui définit les conditions générales d’utilisation des systèmes d’information et de communication, de l’accès à Internet, aux divers réseaux et systèmes d’information de l’entreprise ou encore à ses services multimédias et informe les salariés sur leurs droits et les obligations en matière d’usage du matériel informatique mis à leur disposition par l’employeur mais également sur les sanctions disciplinaires éventuellement applicables en cas de manquement. Enfin, afin de respecter les dispositions de l’article L1222-4 du Code du travail, elle doit informer le salarié des dispositifs de surveillance informatique de son activité comme les dispositif de filtrage de messagerie, contrôle des pages visitées sur internet, etc. car
« qu’aucune information concernant personnellement un salarié ne peut être collectée par un dispositif qui n’a pas été porté préalablement à sa connaissance ».
Il est par conséquent indispensable qu’elle soit rédigée en termes clairs et aisément compréhensibles et qu’elle soit portée à la connaissance du collaborateur dès l’embauche.
L’élaboration d’une charte informatique, dont la mise en application fait partie des recommandations de la Commission Nationale de l’Informatique et des Libertés (CNIL), a trois finalités :
La sécurisation juridique et technique des données récoltées, traitées et détenues par l’entreprise ;
L’information les salariés sur les outils informatiques mis à leur disposition et sur l’existence d’outils de surveillance et de collecte de données sur les moyens informatiques qu’ils utilisent ;
La prévention de toute utilisation abusive des outils informatiques de l’entreprise en précisant l’usage devant être fait de ces outils et les sanctions en cas de non-respect des règles
2. Elaboration.
Le contenu de la charte informatique va varier d’une entreprise à une autre. Il n’y a pas de modèle-type, ni aucune exigence quant à la forme. Cela va dépendre du contexte propre à l’entreprise, de son activité, de ses outils, et de sa politique informatique. Pour l’ANSSI et la CNIL, la rédaction de la charte doit néanmoins s’articuler autour de 8 points clés :
l’objectif,
des définitions claires et précises,
l’objet et sa portée,
les usages,
la définition des devoirs de l’utilisateur,
les mesures de contrôle,
les sanctions,
l’opposabilité de la charte.
2.1 L’objectif.
L’objectif de la charte informatique est de contribuer à la préservation de la sécurité du système d’information de l’entreprise qui s’en dote, en faisant de l’utilisateur un acteur essentiel à la réalisation de cet objectif. Une analyse de risques doit précéder l’élaboration de cette charte afin de définir les moyens adéquats pour protéger les informations les plus sensibles. Sur le plan technique, la direction en charge de l’élaboration de la politique de sécurité des systèmes d’information devra être force de proposition quant aux mesures à adopter. L’élaboration de la charte va nécessiter la mise en commun de compétences transverses. A titre d’illustration, elle pourra établir les règles de nature à assurer tant le respect du droit à la déconnexion des salariés, que la sécurité des données dans le cadre du télétravail.
2.2 Des définitions claires et précises.
Etape indispensable, la définition des termes clés permet de limiter l’interprétation qui en sera faite, notamment en tenant compte des spécificités propres à l’entreprise sur le sens à donner à des termes néanmoins courants (administrateur, messagerie électronique, moyens d’authentification, système d’information, utilisateur...).
Il paraît également utile définir la notion de « système d’information et de communication » en précisant ce qu’elle comprend :
Les ordinateurs et leurs périphériques,
Le réseau informatique (serveurs, routeurs et connectique),
Les photocopieurs,
Les téléphones,
Les tablettes,
Les clés 3G,
Les logiciels,
Le système de messagerie, etc.
2.3 L’objet et sa portée.
Si la mise en place d’une charte n’est pas une obligation, elle est néanmoins nécessaire à partir du moment où une entreprise recueille des données personnelles. Elle est également indispensable en matière de sécurité informatique.
La charte doit rappeler ce sur quoi elle porte, idéalement de manière précise et explicite, notamment en précisant que le matériel personnel du salarié connecté au réseau de l’entreprise, comme par exemple une clé USB, entre aussi dans le champ d’application de la charte informatique. L’un des intérêts de cette charte de pouvoir être opposable aux salariés, selon les modalités expliquées ci-dessous.
2.4 Les usages.
La charte va définir les règles d’utilisation du système d’information par les salariés de l’entreprise qu’il s’agisse du matériel informatique ou du respect du RGPD, mais également des e-mails, des réseaux sociaux, des connexions wifi etc … la charte permet de poser des limites claires aux salariés à l’usage des ressources informatiques de l’entreprise, notamment en réglementant leur utilisation à des fins personnelles. Le document s’adresse à tous les utilisateurs du système d’information et de communication de l’entreprise. Il convient de rappeler que si l’employeur ne peut ouvrir les fichiers identifiés par le salarié comme étant personnels qu’en présence du salarié ou celui-ci ayant été dûment appelé [1], les fichiers créés par le salarié à l’aide de l’outil informatique mis à sa disposition par l’employeur pour les besoins de son travail sont présumés avoir un caractère professionnel, le seul intitulé « Mes Documents » ne suffisant pas à conférer aux fichiers contenus dans le dossier un caractère personnel [2].
La charte informatique permet d’éviter tout débat à ce sujet en précisant comment procéder pour identifier des fichiers personnels.
Les usages abusifs les plus fréquents sont :
La consultation excessive de sites web sans lien avec les tâches du salarié ;
La navigation sur des sites interdits (pornographie, par ex.) ;
L’usage de la messagerie professionnelle à des fins personnelles ;
Le téléchargement illégal de fichiers ou de programmes.
2.5 Définir les devoirs de l’utilisateur.
Les devoirs de l’utilisateur découlent directement du respect des usages autorisés tels que définis par la charte. Outre les obligations générales, notamment en termes de respect des obligations légales et réglementaires, les devoirs de l’utilisateur peuvent s’étendre au respect d’obligations techniques spécifiques qui sont fonction de l’architecture du système d’information et des mesures de sécurité appliquées par l’entreprise.
2.6 Les mesures de contrôle.
Afin de se prémunir contre tout comportement indésirable, la charte informatique va généralement définir des mesures de contrôle qui peuvent être non seulement étendues mais également sur des périodes relativement longues à des fins de dissuasion. Il y a toutefois des dispositions légales à respecter.
L’article L1121-1 du Code du travail dispose que les restrictions des libertés individuelles ainsi imposées doivent être justifiées au regard de la fonction du salarié ou de l’objectif poursuivi par l’employeur. Il convient donc de rappeler que la charte informatique doit informer les salariés des moyens de surveillance informatique mis en œuvre permettant de suivre leurs activités, conformément à l’article L1222-4 du Code du travail précité.
2.7 Les sanctions.
La charte ayant une valeur juridique, l’employeur pourra sanctionner le salarié ayant enfreint l’une des règles fixées. Les sanctions encourues doivent être indiquées sur la charte informatique.
Au sens de l’article L1331-1 du Code du travail, « constitue une sanction toute mesure, autre que les observations verbales, prise par l’employeur à la suite d’un agissement du salarié considéré par l’employeur comme fautif […] ».
La sanction doit être proportionnée à la gravité du manquement, le licenciement pour faute apparaissant comme la sanction ultime pour une faute commise par un salarié dans le cadre de son contrat de travail. Il est impératif de prévoir une échelle des sanctions disciplinaires. Le règlement intérieur établit « les règles générales et permanentes relatives à la discipline, notamment la nature et l’échelle des sanctions qu’il peut prendre » [3] Son établissement est obligatoire dans les entreprises employant plus de vingt salariés, d’un règlement intérieur est obligatoire [4].
La sanction disciplinaire à l’encontre d’un salarié est subordonnée à la preuve par l’employeur que celui-ci a commis une faute. Dans le cadre des mesures de sécurité informatique, si l’employeur entend sanctionner un salarié n’ayant pas respecté une mesure de sécurité, il lui faudra prouver que ledit salarié était informé des consignes de sécurité [5].
La charte informatique va permettre à l’employeur d’établir plus facilement la preuve de l’existence de la faute.
La méconnaissance de la charte informatique de l’entreprise a ainsi pu être retenue pour justifier le licenciement pour faute grave [6].
2.8 S’assurer de l’opposabilité de la charte.
Pour être valable et, donc opposable aux salariés, la charte informatique doit respecter un certain nombre de règles A défaut, ce document serait sans aucune valeur contraignante.
Les étapes à respecter pour garantir la validité de la charte sont les suivantes :
Avis du CSE (Comité Social et Economique) [7] ;
Dépôt au greffe du conseil de Prud’hommes de la charte informatique [8] ;
Communication de la charte informatique à l’inspection du travail [9] ;
Prise de connaissance par les salariés.
La prise de connaissance par les salariés doit être faite de manière spécifique et l’employeur doit être en mesure de la prouver.
L’employeur a une option pour rendre le contenu de sa charte informatique obligatoire :
Soit l’annexer au contrat de travail,
Soit l’annexer au règlement intérieur.
A défaut, la charte ne sera pas applicable au salarié.
La charte informatique annexée au contrat de travail.
Si la charte est annexée au contrat de travail, elle n’est alors applicable qu’aux salariés embauché postérieurement à l’entrée en vigueur du document. Pour les salariés déjà en place, l’employeur doit rédiger un avenant au contrat afin d’y insérer la charte, que le salarié peut refuser.
La charte informatique annexée au règlement intérieur.
Bien que contraignant, le rattachement de la charte informatique au règlement intérieur semble beaucoup plus opportun pour assurer une application optimale de la charte, lui donnant ainsi une valeur d’acte réglementaire.
Elle sera alors opposable à tous les salariés, quelle que soit la date d’embauche dans l’entreprise et l’employeur n’aura pas l’obligation de faire signer la charte aux salariés. Cette option sera donc plus facilement acceptée par le salarié mais suppose l’existence d’un règlement intérieur, néanmoins obligatoire à partir de 20 salariés.
En conclusion.
Le contenu de la charte informatique varie en fonction du contexte, des préoccupations et des besoins de l’entreprise. Ce document doit prendre en compte l’équilibre entre les intérêts de celle-ci et les libertés ou droits dont jouissent les employés.
Il n’y a donc pas lieu d’appliquer un modèle standard mais d’adapter ceux qui peuvent être proposés aux spécificités de l’entreprise et à son niveau d’exigence défini en fonction de l’analyse des risques établie au préalable.