Charte informatique RGPD : guide pratique

La CNIL considère l’absence de charte informatique comme un manquement potentiel à l’obligation de sécurité prévue par l’Art. 32 du RGPD. En pratique, dans plusieurs décisions de sanction récentes, l’autorité a relevé l’absence de ce document comme un facteur aggravant. Si votre organisation n’en dispose pas encore — ou si votre charte date d’avant 2018 — il est temps d’agir.

Pourquoi la charte informatique est devenue indispensable avec le RGPD

Avant le RGPD, la charte informatique relevait surtout du droit du travail : encadrer l’usage personnel des outils, prévenir la fraude informatique, protéger la propriété intellectuelle. Le RGPD a ajouté une dimension supplémentaire : la charte est désormais un élément central de la sécurité des données personnelles.

L’Art. 32 du RGPD impose au responsable de traitement de mettre en œuvre des « mesures techniques et organisationnelles appropriées » pour assurer un niveau de sécurité adapté au risque. La charte informatique est la mesure organisationnelle de base. Elle formalise les règles que chaque collaborateur doit respecter lorsqu’il manipule des données personnelles.

Concrètement, la CNIL recommande cette charte dans son guide de la sécurité des données personnelles (fiche n°2 : « Définir un cadre pour les utilisateurs »). Elle préconise d’y intégrer au minimum les règles d’authentification, les consignes de sécurité, les modalités d’utilisation des équipements et les sanctions applicables en cas de non-respect.

Ce que la charte informatique RGPD doit contenir

Périmètre et utilisateurs concernés

La charte doit définir clairement son champ d’application : quels équipements sont concernés (postes de travail, téléphones professionnels, tablettes, accès VPN), quels utilisateurs y sont soumis (salariés, intérimaires, stagiaires, prestataires externes) et dans quels contextes elle s’applique (locaux de l’entreprise, télétravail, déplacements).

Ayant travaillé 6 ans au sein de la DCSSI (devenue ANSSI), j’ai pu constater que les chartes les plus efficaces sont celles qui couvrent explicitement le BYOD (Bring Your Own Device) et le télétravail — deux situations qui multiplient les risques de fuite de données.

Règles d’authentification et gestion des mots de passe

La CNIL a actualisé ses recommandations sur les mots de passe en 2022 (délibération n°2022-100). La charte doit reprendre ces exigences :

• Longueur minimale de 12 caractères (ou 8 avec un mécanisme de restriction d’accès)
• Interdiction de communiquer son mot de passe à un tiers, y compris au service informatique
• Obligation de verrouiller son poste dès qu’on s’en éloigne
• Utilisation d’un gestionnaire de mots de passe recommandée

Ces règles alimentent directement votre obligation de sécurité au titre de l’Art. 32 du RGPD et votre programme de sensibilisation à la sécurité.

Règles d’utilisation des données personnelles

C’est le cœur de la dimension RGPD de la charte. Chaque utilisateur doit savoir qu’il ne peut :

• Accéder qu’aux données strictement nécessaires à ses missions (principe de minimisation, Art. 5(1)© du RGPD)
• Extraire ou copier des données personnelles en dehors des procédures prévues
• Transférer des données sur des supports non autorisés (clé USB personnelle, cloud personnel, messagerie privée)
• Communiquer des données personnelles à des tiers non habilités

La charte doit également rappeler l’obligation de signaler immédiatement toute suspicion de violation de données au DPO ou au responsable sécurité. L’Art. 33 du RGPD impose une notification à la CNIL dans les 72 heures : chaque heure compte.

Surveillance et contrôle des outils informatiques

C’est le sujet le plus sensible. L’employeur a un droit de contrôle sur l’utilisation des outils professionnels, mais ce contrôle doit respecter les principes de proportionnalité (Art. L.1121-1 du Code du travail) et de transparence (Art. 13 du RGPD).

La charte doit préciser :

• Quels outils de surveillance sont déployés (filtrage URL, journalisation des accès, DLP)
• Quelles données sont collectées et pourquoi (la base légale est généralement l’intérêt légitime de l’employeur)
• La durée de conservation des journaux (la CNIL recommande 6 mois maximum pour les logs de connexion)
• Les droits des salariés sur ces données (accès, rectification conformément aux droits RGPD)

Dans mon expérience de conseil, l’erreur la plus fréquente est de déployer des outils de surveillance sans les mentionner dans la charte. La jurisprudence est constante : un dispositif de contrôle non porté à la connaissance du salarié est inopposable (Cass. soc., 10 novembre 2021, n°20-12.263).

Usage personnel toléré

La jurisprudence admet un usage personnel « raisonnable » des outils informatiques professionnels. La charte doit fixer les limites : navigation web personnelle pendant les pauses, messagerie personnelle identifiée comme telle (objet « personnel » ou dossier dédié), interdiction de téléchargements illicites.

Le point RGPD : si l’employeur est amené à consulter des données d’utilisation, il ne peut accéder aux éléments identifiés comme personnels qu’en présence du salarié ou après l’en avoir informé, sauf risque grave pour l’entreprise.

Sanctions en cas de non-respect

La charte doit prévoir une échelle de sanctions proportionnées : avertissement, mise à pied, licenciement pour faute. Pour être opposable, la charte doit avoir été adoptée selon les formes du règlement intérieur (Art. L.1321-4 du Code du travail), c’est-à-dire après consultation du CSE et dépôt au greffe du conseil de prud’hommes.

En parallèle, rappelons que le non-respect des règles RGPD expose le salarié à des sanctions pénales : l’Art. 226-17 du Code pénal punit le fait de ne pas respecter les mesures de sécurité prescrites de 5 ans d’emprisonnement et 300 000 € d’amende.

Comment mettre en œuvre la charte dans votre organisation

Étape 1 : Impliquer les bonnes parties prenantes

La rédaction de la charte ne peut pas être l’affaire du seul DPO. Il est recommandé d’associer :

• La DSI (aspects techniques : quels outils, quels contrôles)
• Les RH (intégration au droit du travail et données personnelles)
• La direction juridique (conformité Code du travail + RGPD)
• Le DPO (cohérence avec le registre et les politiques de protection des données)

Étape 2 : Adopter la charte comme annexe au règlement intérieur

Pour que la charte soit juridiquement opposable aux salariés, elle doit être annexée au règlement intérieur. La procédure implique :

1. Rédaction du projet de charte
2. Consultation du CSE (avis obligatoire, Art. L.1321-4 du Code du travail)
3. Communication à l’inspection du travail
4. Dépôt au greffe du conseil de prud’hommes
5. Affichage et diffusion aux salariés (un mois minimum avant entrée en vigueur)

Sans cette procédure, la charte n’a qu’une valeur indicative et l’employeur ne pourra pas sanctionner un salarié pour non-respect.

Étape 3 : Former et faire signer

Chaque salarié doit recevoir un exemplaire de la charte et signer un accusé de réception. Au-delà de l’aspect juridique, une session de sensibilisation est recommandée pour expliquer concrètement les règles. La CNIL insiste sur le fait que la simple remise du document ne suffit pas : les utilisateurs doivent comprendre les enjeux de la protection des données.

Pour les nouveaux arrivants, la charte devrait faire partie du parcours d’intégration au même titre que le règlement intérieur. C’est ce type de processus que Legiscope permet de documenter et de suivre dans le cadre de votre registre de conformité.

Étape 4 : Réviser régulièrement

Une charte rédigée en 2018 est aujourd’hui dépassée. Le télétravail massif, l’utilisation d’outils d’IA générative, le BYOD généralisé et les nouvelles recommandations CNIL sur les mots de passe imposent une mise à jour. Il est recommandé de réviser la charte au moins tous les deux ans, ou à chaque changement significatif de l’infrastructure IT ou des pratiques de travail.

Erreurs fréquentes dans les chartes informatiques

Après avoir accompagné des dizaines d’organisations dans la rédaction de leur charte, j’observe des erreurs récurrentes qui fragilisent le document.

Charte trop vague sur les données personnelles

Beaucoup de chartes se contentent d’une phrase du type « l’utilisateur doit respecter le RGPD ». C’est insuffisant. La charte doit détailler concrètement ce que le salarié peut et ne peut pas faire avec les données personnelles qu’il traite : interdiction de copier des fichiers clients sur une clé USB, obligation d’utiliser les outils de chiffrement fournis, procédure de signalement en cas de réception d’un email suspect contenant des données personnelles.

Absence de mise à jour depuis le RGPD

De nombreuses chartes datent de 2015 ou 2016 et n’ont jamais été actualisées pour intégrer les exigences du RGPD. Elles mentionnent encore la « loi Informatique et Libertés » sans référence au règlement européen, ne prévoient aucune obligation de notification des violations, et ignorent les droits des personnes concernées. Une charte obsolète est presque aussi risquée qu’une absence de charte.

Surveillance disproportionnée

Certaines chartes prévoient un contrôle systématique de la navigation internet et des emails de tous les salariés. La CNIL a rappelé à de multiples reprises que la surveillance doit rester proportionnée à l’objectif poursuivi. Un contrôle ciblé, déclenché par un incident ou une alerte, est admis. Une surveillance permanente et généralisée ne l’est pas, sauf circonstances exceptionnelles dûment justifiées.

Oubli des prestataires externes

La charte ne s’adresse souvent qu’aux salariés, en oubliant les prestataires, sous-traitants et intérimaires qui ont pourtant accès au système d’information. L’Art. 28 du RGPD impose que tout sous-traitant respecte des obligations de sécurité équivalentes. La charte doit explicitement couvrir ces populations, ou une version adaptée doit leur être soumise via les contrats de prestation.

Les clauses spécifiques post-2024 à ne pas oublier

Intelligence artificielle et outils génératifs

L’utilisation de ChatGPT, Copilot ou d’autres outils d’IA par les salariés pose des risques majeurs de fuite de données. La charte doit prévoir :

• L’interdiction de saisir des données personnelles ou confidentielles dans des outils d’IA non approuvés
• La liste des outils d’IA autorisés et leurs conditions d’utilisation
• L’obligation d’informer le DPO avant tout nouveau traitement impliquant de l’IA

Télétravail et accès distants

La charte doit couvrir les règles spécifiques au télétravail : utilisation obligatoire du VPN, interdiction de travailler depuis des réseaux Wi-Fi publics non sécurisés, règles de stockage des documents (pas de fichiers professionnels sur le disque dur personnel), et verrouillage du poste en présence de tiers.

Prestataires et sous-traitants

Les prestataires ayant accès au système d’information doivent être soumis à des règles équivalentes. La charte peut prévoir une version spécifique pour les intervenants externes, ou une clause d’adhésion dans le contrat de sous-traitance RGPD.

Ce qu’il faut retenir

• La charte informatique est une mesure de sécurité recommandée par la CNIL au titre de l’Art. 32 du RGPD — son absence peut être retenue comme un manquement lors d’un contrôle.
• Elle doit couvrir les règles d’authentification, l’utilisation des données personnelles, la surveillance des outils et les sanctions en cas de non-respect.
• Pour être juridiquement opposable, la charte doit être annexée au règlement intérieur et adoptée selon la procédure prévue par le Code du travail (consultation CSE, dépôt au greffe).
• Les chartes antérieures à 2020 doivent être révisées pour intégrer le télétravail, le BYOD et l’utilisation d’outils d’IA générative.
• Chaque salarié doit signer un accusé de réception et être formé aux règles de la charte.

FAQ

La charte informatique est-elle obligatoire au titre du RGPD ?

Le RGPD n’impose pas explicitement une charte informatique. Cependant, l’Art. 32 impose des mesures organisationnelles de sécurité, et la CNIL considère la charte comme une mesure incontournable. Son absence a été relevée dans plusieurs sanctions CNIL comme un manquement à l’obligation de sécurité.

Quelle différence entre charte informatique et politique de protection des données ?

La charte informatique s’adresse aux utilisateurs internes (salariés, prestataires) et encadre l’utilisation des outils IT. La politique de protection des données est un document plus large qui décrit la stratégie globale de conformité RGPD de l’organisation. Les deux documents sont complémentaires : la charte est un outil opérationnel, la politique est un cadre stratégique.

Comment rendre la charte opposable aux salariés ?

La charte doit être annexée au règlement intérieur et adoptée selon la procédure de l’Art. L.1321-4 du Code du travail : consultation du CSE, transmission à l’inspection du travail, dépôt au greffe du conseil de prud’hommes. Sans cette procédure, un salarié sanctionné pour non-respect pourra contester la sanction devant les prud’hommes.

Faut-il mettre à jour la charte pour l’IA générative ?

Oui. L’utilisation non encadrée d’outils d’IA générative (ChatGPT, Copilot, Claude) par les salariés présente un risque réel de divulgation de données personnelles et d’informations confidentielles. La charte doit lister les outils autorisés, interdire la saisie de données sensibles, et prévoir une procédure de validation avant tout nouvel usage d’IA. Cette mise à jour est d’autant plus urgente avec l’entrée en application progressive du Règlement européen sur l’IA.