Un modèle type de charte informatique (gratuit)

    Une charte informatique permet d’informer les utilisateurs d’un système d’information des règles qui s’imposent quant à l’utilisation de ces ressources. Juridiquement, la charte permet de fixer de manière transparente les conditions dans lesquelles la responsabilité des utilisateurs peut être mise en cause. Corrélativement, elle permet également de protéger la responsabilité des dirigeants (le DSI, le CEO). La charte est là pour résoudre de nombreuses problématiques, dont celle épineuse, liée à limitation de l’usage des ressources informatiques de l’organisation à des fins privées par les usagers, qui suscite beaucoup de jurisprudence.

    Vous trouverez ci-dessous un modèle type de charte informatique que vous pouvez adapter et réutiliser au sein de votre organisation. Ce modèle pourra vous servir de base de travail et de réflexion pour gérer l’utilisation des ressources informatiques internes.

    La charte informatique doit permettre de gérer un certain nombre de problèmes :

    • comment les ressources informatiques peuvent être utilisées par les utilisateurs (et éviter la fraude informatique)
    • l’application interne du RGPD - ce pour quoi vous devrez utiliser un logiciel RGPD qui vous permet d’éviter des centaines d’heures à écrire de la documentation
    • comment gérer la propriété intellectuelle de l’entreprise, et celle de tiers
    • les règles internes relatives aux communications électroniques…

    Il est important de prévoir également les modalités d’entrée en vigueur et de révision de la charte. Sa mise en oeuvre doit être faite conformément aux procédures prévues en droit du travail (adoption dans le respect de l’art. 1321-4 du code du travail, information du salarié, cf. art. 1222-4 du code du travail, proportionnalité des mesures en place - art. 1321-3 du code du travail et information du comité d’entreprise). Pour être opposable, elle doit découler du règlement intérieur de l’organisation.

    PREAMBULE

    L’entreprise / l’association / XXX met à disposition de ses utilisateurs un système d’information (SI) et des moyens informatiques nécessaires à l’exécution de ses missions et de ses activités.

    Celui-ci comprend :

    • un réseau informatique
    • un réseau téléphonique
    • (LISTER LES AUTRES ACTIFS RÉGIS PAR LA CHARTE)

    Dans le cadre de leurs fonctions, les utilisateurs sont conduits à utiliser les ressources informatiques mises à leur disposition par l’entreprise.

    Dans un objectif de transparence, la présente charte définit les règles dans lesquelles ces ressources peuvent être utilisées.

    Article 1 : Utilisateurs concernés

    La présente charte s’applique à l’ensemble des utilisateurs du système d’information dont notamment :

    • les dirigeants et mandataires sociaux
    • les salariés
    • les intérimaires
    • les stagiaires
    • les employés de sociétés prestataires
    • les visiteurs occasionnels

    Il appartient aux salariés de l’organisation de s’assurer de faire accepter la présente charte à toute personne à laquelle ils permettraient l’accès au SI.

    Article 2 : Périmètre du système d’information

    Le système d’information est composé des ressources suivantes :

    • ordinateurs
    • téléphones
    • réseau informatique (serveurs, routeurs et connectique)
    • photocopieurs
    • logiciels
    • données informatisées
    • messagerie

    Aux fins d’assurer la sécurité informatique du SI, tout matériel connecté au SI de l’entreprise, y compris le matériel personnel des utilisateurs indiqués à l’article 1, est régi par la présente charte.

    NOTE: il faut définir ici le périmètre des biens qui sont soumis aux règles de la charte. Idéalement il faut également prévoir les règles spécifiques qui régissent l’utilisation du SI par les IRP, l’organisation d’élections ou le télétravail qui peuvent relever de chartes distinctes

    Article 3 : Règles générales d’utilisation

    Le SI doit être utilisé à des fins professionnelles, conformes aux objectifs de l’organisation, sauf exception prévue par les présentes, ou par la loi.

    Les utilisateurs ne peuvent en aucun cas utiliser le SI de l’organisation pour se livrer à des activités concurrentes, et/ou susceptibles de porter préjudice à l’organisation de quelque manière que ce soit.

    Article 4 : Protection des données personnelles (RGPD)

    L’entreprise met en œuvre des traitements de données personnelles dans le cadre de son activité. A ce titre, elle est soumise au Règlement Général sur la Protection des Données (RGPD) et à la loi Informatique et Libertés modifiée.

    L’entreprise a désigné un Délégué à la Protection des Données (DPO) qui est le référent sur ces sujets. Ses coordonnées sont : [insérer nom et email].

    Chaque utilisateur du SI est susceptible d’avoir accès à des données personnelles dans le cadre de ses missions. A ce titre, il doit respecter les principes et règles suivants :

    • Les données personnelles ne doivent être collectées et traitées que pour un usage déterminé, explicite et légitime. Elles doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.
    • L’utilisateur ne doit accéder qu’aux seules données personnelles dont il a besoin dans le cadre de ses missions. L’accès aux données doit être justifié.
    • Les données personnelles doivent être conservées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées. Au-delà, elles doivent être supprimées ou archivées.
    • L’utilisateur doit veiller à la confidentialité et à l’intégrité des données personnelles qu’il est amené à traiter, depuis leur collecte jusqu’à leur destruction.
    • Toute violation de données personnelles (accès non autorisé, divulgation, perte, etc.) doit être signalée immédiatement au DPO.
    • L’utilisateur doit respecter les droits des personnes sur leurs données (droit d’accès, de rectification, d’opposition, etc.) et transmettre au DPO toute demande reçue en ce sens.

    Le non-respect des règles relatives à la protection des données personnelles peut entraîner des sanctions disciplinaires pour l’utilisateur

    Article 5 : sécurité informatique

    L’entreprise met en oeuvre une série de moyens pour assurer la sécurité de son système d’information et des données traitées, en particulier des données personnelles. A ce titre elle peut limiter l’accès à certaines ressources.

    4.1 Principe général de responsabilité et obligation de prudence

    L’utilisateur est responsable des ressources informatiques qui lui sont confiées dans le cadre de ses missions, et doit concourir à leur protection, notamment en faisant preuve de prudence. L’utilisateur doit s’assurer d’utiliser les ressources informatiques mises à sa disposition de manière raisonnable, conformément à ses missions.

    4.1 Obligation générale de confidentialité

    L’utilisateur s’engage à préserver la confidentialité des informations, et en particulier des données personnelles, traitées sur le SI de l’organisation.

    IL s’engage à prendre toutes les précautions utiles pour éviter que ne soient divulguées de son fait, ou du fait de personnes dont il a la responsabilité, ces informations confidentielles.

    4.2 Mot de passe

    L’accès aux SI ou aux ressources informatiques mises à disposition est protégé par mot de passe individuel. Ce mot de passe doit être gardé confidentiel par l’utilisateur afin de permettre le contrôle de l’activité de chacun. Le mot de passe doit être mémorisé et ne doit pas être écrit sous quelque forme que ce soit. Il ne doit pas être transmis ou confié à un tiers ou être rendu accessible. Le login et le mot de passe doivent être saisis lors de chaque accès au système d’information.

    Le mot de passe doit se conformer à la politique de mot de passe édictée conformément aux prescriptions de la CNIL relativement à la protection des données personnelles et notamment :

    • être composé de plus de 12 caractères ;
    • ces caractères doivent être une combinaison de caractères alphanumériques de chiffres,
    • de majuscules,
    • de minuscules,
    • et de caractères spéciaux

    4.3 Verouillage de sa session

    L’utilisateur doit veiller à verrouiller sa session dès lors qu’il quitte son poste de travail.

    4.4 Installation de logiciels

    L’utilisateur ne doit pas installer, copier, modifier ou détruire de logiciels sur son poste informatique sans l’accord du service informatique en raison notamment du risque de virus informatiques.

    4.5 Copie de données informatiques

    L’utilisateur doit respecter les procédures définies par l’organisme afin d’encadrer les opérations de copie de données sur des supports amovibles, notamment en obtenant l’accord préalable du supérieur hiérarchique et en respectant les règles de sécurité, afin d’éviter la perte de données (ex : vol de clé usb, perte d’un ordinateur portable contenant d’importantes quantités d’informations confidentielles…).

    Article 6 : Modalités d’utilisation des ressources informatiques

    Note : décrire ici les modalités d’usage normal des ressources informatiques mises à disposition des u’ilisateurs - par exemple leur poste de travail, les différentes applications utilisées, la téléphonie mobile, etc

    Article 7 : Accès à Internet

    L’accès à l’Internet est autorisé au travers du SI, toutefois, pour des raisons de sécurité l’accès à certains sites peut être limité.

    Article 8 : Email

    Chaque employé peut disposer d’une adresse email pour l’exercice de ses missions.

    Par principe, tous les messages envoyés ou reçus sont présumés être envoyés à titre professionnel.

    Par exception, les utilisateurs peuvent utiliser la messagerie à des fins personnelles, dans les limites posées par la loi. Les messages personnels doivent alors porter la mention “PRIVE” dans l’objet et être classés dans un répertoire “PRIVE” dans la messagerie, pour les messages reçus.

    NOTE: l’entreprise peut édicter ses règles propres pour procéder à la distinction des messages privés/pro en fonction de son SI, toutefois il est impossible de supprimer un usage raisonnable à titre privé des outils informatiques mis à disposition par l’employeur (arrêt Nikon : Cass. soc., 2 oct. 2001, Nikon France), elle doit donc nécessairement édicter des règles à ce titre. Attention par contre au contrôle de la messagerie par les institutions représentatives du personnel, car cela peut constituer un délit d’entrave.

    Article 9 : Sanctions

    Les manquements aux règles édictées par la présente charte peuvent engager la responsabilité de l’utilisateur et entraîner des sanctions à son encontre (limitation d’usage du SI, sanctions disciplinaires.

    Article 10 : Information et entrée en vigueur

    La présente charte est ajoutée en annexe du règlement intérieur et communiquée individuellement à chaque employé.

    Elle entre en vigueur au _____

    Notes générales :

    • Vous devez adapter les règles relatives au RGPD et vous assurer d’avoir un registre RGPD complet (vous pouvez utiliser Legiscope pour générer votre registre en quelques minutes)
    • il est important de prendre en compte l’ensemble des prescriptions en matière de sécurité informatique édictées par la CNIL et des les intégrer dans la charte, en fonction de ce qui est mis en oeuvre dans l’entreprise
    • l’ANSSI a édicté un guide général sur la rédaction des chartes informatiques que vous pouvez consulter ici qui peut servir de source d’inspiration pour la définition des règles de sécurité informatique.
    • Il est intéressant également de prévoir les process pour les activités fréquentes des utilisateurs comme l’échange de fichiers, de sorte que ceux-ci puissent se faire de manière sécurisée. La charte peut également être le lieu ou définir les process d’entreprise.
    • Attention, il est nécessaire de sensibliser les utilisateurs aux process imposés par la charte pour que les
    Thiébaut Devergranne
    Thiébaut Devergranne
    Thiébaut Devergranne est docteur en droit et expert en droit des nouvelles technologies depuis plus de 20 ans, dont 6 passés au sein des services du Premier Ministre. En savoir plus

    Ils nous ont fait confiance

    logo Deloitte
    logo starbucks
    logo orange bank
    logo vinci
    logo nokia
    logo sanofi
    logo sncf
    Automatisez votre conformité RGPD
    Economisez-vous des semaines de travail avec Legiscope logiciel de gestion de la conformité RGPD
    VOS CGV (gratuites)