Comment bien rédiger sa charte informatique ?

La charte informatique est une retranscription écrite, un document à portée juridique, des droits et obligations salariales concernant l’utilisation du matériel informatique au sein d’une entreprise. La mise en œuvre d’une charte informatique devient obligatoire au sein d’une entreprise dès lors que des outils de filtrage ou de surveillance collectant des données à caractère personnel y sont déployés en interne.

 

Elle vise notamment à :
> Apporter une sécurité juridique et technique des données dont dispose l’entreprise.
> Informer les salariés / utilisateurs de la mise en place d’outils de surveillance et de collectes de données.

Le contenu d’une charte informatique varie en fonction du contexte et des préoccupations d’une organisation. Chaque entreprise dispose de moyens et de composants de confidentialité différents il est donc important de rédiger une charte informatique personnalisée.

 

Voici quelques conseils pour rédiger une charte informatique :

  • Définir clairement le périmètre de la charte informatique : Il s’agit de déterminer qui est concerné (employeur, utilisateur, administrateur) et sur quels équipements, applications et données elle porte. Il faut que cette charte soit claire et à portée de tous pour que vos salariés y adhèrent. Il est donc important de définir les termes clés du document pour limiter leur interprétation juridique.

 

  • Définir des règles d’usage du poste de travail : Les bonnes pratiques d’utilisation du poste sont importantes à mettre en place pour assurer le bon fonctionnement du matériel informatique, mais aussi pour son état de santé (faire les mises à jour…). L’employeur doit décider des droits d’utilisation accordés à l’utilisateur (droit de sortie du poste de l’entreprise…).

 

  • Définir des règles d’usage de la sécurité informatique : Les nouvelles technologies sont omniprésentes dans les entreprises et sont pourtant porteuses de nouveaux risques pour celles-ci. Les données les plus sensibles (contacts, fichiers clients, données confidentielles…) peuvent être dérobées par des attaquants informatiques ou récupérées en cas de perte ou vol d’un ordinateur, d’un smartphone ou d’une tablette. Il est donc important de définir les responsabilités de chacun tout en sensibilisant les utilisateurs à la sécurisation des données (sauvegardes, économies d’énergie, droits de licences…).

 

  • Définir des règles d’usage d’Internet : La charte informatique peut rappeler les limites de l’utilisation d’Internet au sein de l’entreprise. Les utilisateurs doivent être informés de la mise en place d’un dispositif de filtrage d’accès à Internet. On peut distinguer deux types de flux à utiliser dans le cadre d’une limite de navigation : les flux sécurisés et les flux non sécurisés.
    • Les flux non sécurisés ne sont pas limités dans leur analyse et leur contrôle. La Cour de cassation estime que les connexions internet d’un salarié sont présumées être professionnelles. De fait l’employeur peut les contrôler hors la présence du salarié.
    • Les flux sécurisés (https) peuvent être cryptés et leur contrôle nécessite une intervention de déchiffrement / rechiffrement.

 

  • Définir des règles d’usage de la messagerie : Les salariés de l’entreprise doivent être tenus informés de la mise en place de mesures techniques : limitation du nombre de destinataires d’un email, volume d’une pièce jointe, suppression des messages passé un certain délai… Une attention particulière doit être portée aux messages personnels. Tout examen d’emails nécessite la présence du salarié ou d’un représentant du personnel en son absence. Il est donc recommandé d’inciter les salariés à signaler leurs messages personnels par la mention « privé » dans l’objet.

 

  • Définir des règles d’usage de l’accès à distance : Si vous autorisez vos salariés à utiliser leur matériel professionnel en déplacement extérieur ou à leur domicile, il faut clairement définir les conditions d’utilisations.  Si le matériel professionnel peut être utilisé à des fins personnelles, il faut définir la frontière entre l’utilisation professionnelle et l’usage privé.

 

  • Définir des règles d’usage des réseaux sociaux : La Charte informatique fait part des interdictions de communication sur l’entreprise et en son nom, aussi bien dans le cadre privé que professionnel. Les collaborateurs doivent adopter un comportement honnête vis à vis de leur employeur lors de l’utilisation des réseaux sociaux professionnels (Linkedin, Viadéo…) ou non professionnels (Facebook, Instagram, Twitter…).

 

  • Définir des règles d’usage du BYOD, Bring Your Own Device (Apportez votre propre matériel) : Le BYOD consiste à autoriser vos salariés à utiliser leur propre matériel pour se connecter au bureau.
    • Si le BYOD n’est pas mis en place au sein de votre entreprise, il est alors recommandé de l’interdire dans votre charte informatique et de prévoir des sanctions en cas d’infraction à cette règle.
    • Si le BYOD est mis en place dans votre entreprise il faudra alors le notifier dans la Charte informatique.
    • Si le BYOD est réservé à certaines personnes, alors les règles d’utilisation devront être précisées dans un document spécifique.

 

  • Le droit à la déconnexion: Avec le développement du numérique et des outils de communication (portables, tablettes, ordinateurs…) de plus en plus de travailleurs connectés continuent à travailler sur un dossier le soir ou le weekend. Le droit à la déconnexion vise à respecter le temps de repos et de congés des salariés ainsi que leur vie personnelle et familiale. Il permet aussi de sécuriser et de protéger les salariés contre les modifications apportées à la nature du travail et les risques potentiels sur la santé.
    • Limiter les connexions aux heures de travail en fonction de l’activité et des astreintes du salarié.
    • Interdire toute sollicitation des salariés en dehors de leurs horaires habituels de travail.
    • Refuser l’utilisation des outils de communication mis à disposition par l’employeur en dehors des heures de travail.

 

  • Définir les mesures de contrôle : Le contrôle est destiné à identifier les écarts ou fautes d’un utilisateur. Celui-ci doit être tenu au courant des différents contrôles menés en interne. Il est donc important d’y citer les contrôles automatiques, les contrôles mensuels et les droits d’usages personnels.

 

  • Définir les sanctions qui peuvent être appliquées : ayant un caractère juridique, la charte informatique permet de donner des sanctions à l’encontre de l’employé qui aurait enfreint une de ses règles. Il est impératif de prévoir une échelle des sanctions disciplinaires pour que la sanction soit appropriée à la gravité de l’acte.

 

  • L’opposabilité de la Charte informatique : elle nécessite son acceptation des utilisateurs de l’entreprise. Pour cela, elle devra être signée et faire partie des annexes du contrat de travail. Elle peut éventuellement être rattachée au règlement intérieur de l’entité pour éviter tout refus de la part des collaborateurs.

Pour finir, il est important de se faire conseiller pour la rédaction d’une charte informatique propre à votre entreprise. Il est nécessaire de la faire relire par votre conseiller RH et / ou juridique avant de l’officialiser.

 

Découvrez notre Webinar sur la création d’une charte informatique

 

Par Sarah Galodé

" Se réunir est un début, rester ensemble est un progrès, travailler ensemble est la réussite ! "

Partagez cet article

Encore un peu de lecture ?

Office 365, une référence mondiale dans la bureautique !

Pour se lancer ou migrer vers Office 365, nous vous proposons un plan de migration à mettre en place (plus ou moins long selon le projet client), qui consiste à analyser complètement votre système informatique, procéder à la migration de votre messagerie et former vos collaborateurs.

10 bonnes pratiques pour assurer votre sécurité

L’utilisation des malwares contre les entreprises a augmenté de 90 % sur l’année 2018. Cibles jugées faciles par les cybercriminels, leur antivirus est une première parade contre les cyberattaques, mais celui-ci ne doit pas être leur unique protection.

EVENT Sophos Tech Summit

L’objectif de cet événement était de présenter de nouvelles fonctionnalités EDR (Endpoint Detection and Response) dans Intercept X Advanced pour détecter, retracer et comprendre les incidents dus aux malwares.

Inscrivez vous à la newsletter