Modèle de charte informatique : guide pour entreprises

31/5/2024
📚 Notions de base
🛡️ Sécurité

Avez-vous besoin d’un modèle de charte informatique ? Nous avons d’ores et déjà la réponse : oui.

Une charte informatique en entreprise est un document juridique contenant les règles, droits, obligations et sanctions concernant l'utilisation des moyens de communication électroniques en entreprise. Contrairement à ce que l’on pourrait croire, la charte informatique ne concerne pas que le service informatique, mais l’ensemble des collaborateurs d’une entreprise. Pour avoir une valeur juridique, la charte informatique doit être intégrée ou annexée au règlement intérieur de l'entreprise.

Afin d’y voir plus clair sur son intérêt et sa portée, posons-nous les questions suivantes :

  • Qu’est-ce qu’une charte informatique ?
  • Comment la rédiger ?
  • Est-ce qu’elle doit intégrer des mentions RGPD ?

Qu'est-ce qu'une charte informatique ?

Vous devez comprendre que la sécurité n’est pas que technique, mais qu’elle dépend surtout du facteur humain. Une charte informatique est un outil juridique indispensable pour une utilisation plus responsable, sécurisée et efficace des outils numériques de l'entreprise. Une charte permet ainsi de cadrer les bonnes pratiques.

Définition de la charte informatique

Une charte informatique est un document qui contient les obligations des collaborateurs et qui décrivent :

  • l’utilisation des moyens informatiques et de télécommunication par les salariés ;
  • les conditions d’administration du système d’information ;
  • les sanctions en cas de non-respect des règles édictées par la charte.

Il est également crucial de délimiter l'usage du système d'information et des outils numériques pour chaque salarié, en définissant clairement les règles et restrictions liées à leur poste de travail.

La charte informatique est donc une réglementation qu’il est possible de rendre contraignante. Il s’agit même d’une condition indispensable pour obliger les collaborateurs à s’y conformer.

Charte informatique et RGPD

Selon l’article 32 du RGPD, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque. La mise en œuvre de ces mesures inclut des actions spécifiques pour appliquer les mesures de contrôle et faire respecter les devoirs des salariés.

Or, la charte informatique contribue à sécuriser les données personnelles à 2 niveaux :

  • en sensibilisant les équipes sur la façon d’exploiter le matériel informatique mis à leur disposition ;
  • en responsabilisant les salariés individuellement qui sont donc au fait des risques auxquels ils exposent l’entreprise en cas de défaillance de leur part.

Comment élaborer une charte informatique ?

La rédaction d’une charte informatique n’est que le sommet de l’iceberg. La mise en place d'une politique stricte de sécurité des systèmes d'information et la définition de règles d'utilisation des outils informatiques sont essentielles pour assurer la sécurité et la conformité juridique. Nous vous recommandons de suivre plusieurs étapes afin que ce document déploie tous ses effets.

Audit de l’existant et analyse des besoins

Dans un premier temps, il est impératif de recenser de façon exhaustive les moyens informatiques mis à disposition des collaborateurs :

  • accès aux logiciels professionnels ;
  • utilisation des messageries internes ou externes ;
  • ordinateurs portables pour télétravailler ;
  • téléphones portables ;
  • clés USB, imprimantes, serveurs, etc.

Il est crucial d'élaborer méticuleusement la charte pour une utilisation plus responsable, sécurisée et efficace des outils numériques de l'entreprise.

Dans un second temps, identifier les besoins auxquels le système d’information répond :

  • communiquer en interne ou en externe ;
  • envoyer des mails à des clients, partenaires, prospects ;
  • se faire rembourser les notes de frais ;
  • travailler sur un logiciel métier, etc.

Si vous avez une vision sur ces différents éléments, il vous sera facile de lister les pratiques courantes, autorisées ou non, et de dire clairement ce qu’il est autorisé de faire et de ne pas faire.

Consultation des parties prenantes

Après avoir effectué ce travail de recensement, vous devez compléter votre analyse avec une enquête sur le terrain.

Tout d’abord, connaître les habitudes des différents services est la seule façon de déceler concrètement les comportements à risque : 

  • mots de passe jamais mis à jour ;
  • une clé USB qui se balade de main en main ;
  • habilitations générales ;
  • accès écrits sur des post-its, etc.

Enfin, et c’est là aussi un point essentiel, vous devez comprendre les besoins spécifiques des services afin d’édicter une charte qui soit réellement applicable.

C’est l’occasion ici de revoir les process de sécurité ou d’investir dans des logiciels complémentaires.

Rédaction du document

Une fois que toutes les pratiques et les besoins sont connus, il convient de passer au plus compliqué : la rédaction des obligations de l’utilisateur. La mise en œuvre de cette charte peut être complexe mais est essentielle pour garantir la sécurité et les droits des salariés.

Ce que vous devez retenir ici, c’est que la charte informatique doit absolument revêtir une forme contraignante (sanction, contrôle).

Nous vous conseillons d’avoir recours à un expert juridique qui connaît parfaitement les risques cyber et RGPD.

Signature et diffusion

La charte informatique doit être engageante.

Autrement dit, vous devez lui donner une valeur contractuelle afin de lui donner l’importance qu’elle mérite et engager juridiquement les collaborateurs. Pour cela, nous vous recommandons de faire signer cette charte. 

Interrogez votre service RH et votre conseil juridique pour mettre en place le bon process : notification individuelle, discussion avec le représentant du personnel, etc.

Charte informatique : exemple de modèle

Vous l’avez compris, le contenu de votre charte informatique dépend de votre secteur d’activité et de la culture “cyber” de votre entreprise. Néanmoins, il y a des clauses qui seront toujours présentes.

Modèle charte informatique : généralités 

Comme tout contrat, la charte comportera des clauses classiques comme : 

  • le nom de parties au contrat : l’entreprise et le nom du signataire ;
  • l’objet : l’utilisation des moyens informatiques et les obligations du signataire ;
  • les objectifs : protection de l’entreprise contre les risques cyber 

Un préambule pourra aussi être rédigé afin de préciser le contexte de la charte et montrer son intérêt à ceux qui pourraient être réfractaires à la signer ou à l’appliquer.

Modèle charte informatique : les devoirs des signataires

Les collaborateurs doivent vraiment avoir conscience qu’ils sont acteurs de la protection des systèmes d’informations de l’entreprise.

Plusieurs principes de base devront être rappelés : 

  • la confidentialité des informations traitées au sein de l’entreprise ;
  • la divulgation aux seules personnes autorisées ou intéressées ;
  • la conservation personnelle des moyens d’authentification ;
  • l’utilisation de mots de passe selon les prescriptions du service informatique ;
  • le respect des process lors d’envois de données ;
  • les points de vigilance pour éviter le phishing (ne pas cliquer sur des liens douteux, ne pas aller sur des sites non-sécurisés) ;
  • l’utilisation acceptée, sous certaines conditions, du matériel informatique à des fins personnelles.

Clauses charte informatique : les contrôles et les sanctions

Afin de vérifier que vos salariés respectent la charte informatique, il peut être pertinent de prévoir des contrôles. Néanmoins, ces contrôles touchant leur vie privée, des précautions sont à prendre : 

  • informer les personnes concernées de ces mesures de contrôle qui doivent être proportionnées aux objectifs poursuivis ;
  • énumérer les mesures pouvant être contrôlées : contrôle des messageries, gestion des accès, etc.

Autre point essentiel : les sanctions contre l’utilisateur qui n’aurait pas respecté la charte. 

Elles peuvent être aussi bien disciplinaires, que civiles ou même pénales lorsqu’une infraction est commise.

Modèle charte informatique et RGPD

La charte informatique devra aussi inclure des clauses relatives à la protection des données personnelles.

La CNIL préconise ainsi d’intégrer les mentions suivantes : 

  • ne pas utiliser les données à des fins autres que celles prévues ;
  • ne divulguer ces données qu’aux personnes dûment autorisées ;
  • ne faire aucune copie de ces données sauf si cela est nécessaire à l’exécution d’une mission ;
  • s’assurer que seuls des moyens de communication sécurisés seront utilisés pour transférer ces données ;
  • restituer intégralement les données lors de la cessation des fonctions.

Mise à jour et évolution

La charte informatique doit être régulièrement mise à jour pour prendre en compte les évolutions technologiques et les nouveaux risques de sécurité. Il est donc important de prévoir une procédure de mise à jour et de révision de la charte, afin de garantir qu’elle reste pertinente et efficace.

De plus, la charte informatique doit être communiquée à tous les salariés et doit être facilement accessible, afin de garantir que tout le monde est au courant des règles et des procédures à suivre. Une charte obsolète peut rapidement devenir inefficace, c’est pourquoi il est crucial de la réviser périodiquement et de former les salariés aux nouvelles directives. En maintenant la charte à jour, l’entreprise s’assure que ses pratiques de sécurité restent robustes face aux menaces émergentes.

Besoin d’aide pour garantir la conformité de votre charte informatique? Faites appel à Leto pour vous épauler dans le traitement des données !  

A propos de l'auteur
Edouard Schlumberger

Co-fondateur de Leto, Edouard a rencontré les problématiques de mise en oeuvre de la protection des données personnelles durant ses différentes aventures entrepreneuriales précédentes.

Cela pourrait vous intéresser

RGPD et prospection commerciale : comment faire ?
2/2/2024
Pourquoi vous allez adorer le Privacy by Design
8/7/2021
Le guide RGPD du sous-traitant B2B
28/6/2024
Tout savoir sur les données personnelles : définition et enjeux
23/12/2022

S'inscrire à la newsletter RGPD de Leto

Chaque semaine, on parle de votre conformité RGPD et on vous donne plein d'infos pertinentes et utiles!

Cliquez ici pour consulter notre politique de confidentialité.

Merci ! Nous avons bien reçu votre inscription.
Aïe ! Quelque chose n'a fonctionné. Pourriez-vous recommencer?
Produits
Logiciel RGPDSensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataApplication mobile veille RGPD
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2024