Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Dimanche 12 juillet 2026
RGPD

Charte informatique RGPD : clauses et modèle 2026

Rédiger une charte informatique conforme au RGPD : clauses obligatoires, procédure d'opposabilité, clauses IA et télétravail, modèle 2026 à adapter.

L’essentiel. La charte informatique est la mesure organisationnelle de base attendue au titre de l’article 32 du RGPD : son absence est régulièrement relevée comme un facteur aggravant en cas de contrôle. Pour être opposable aux salariés, elle doit être annexée au règlement intérieur (consultation du CSE, dépôt au greffe). Elle doit couvrir l’authentification, l’usage des données personnelles, la surveillance des outils, le télétravail, l’IA générative et les sanctions. Une charte antérieure à 2020 est à réviser.

La CNIL considère l’absence de charte informatique comme un manquement potentiel à l’obligation de sécurité prévue par l’article 32 du RGPD. Dans plusieurs décisions de sanction, l’autorité a relevé l’absence — ou l’obsolescence — de ce document comme un élément défavorable. Si votre organisation n’en dispose pas encore, ou si votre charte date d’avant 2018, il est temps d’agir. Ce guide détaille les clauses à intégrer, la procédure d’opposabilité, les clauses spécifiques 2026 (IA générative, télétravail, prestataires), les erreurs récurrentes, et vous oriente vers un modèle de charte informatique à adapter.

Pourquoi la charte informatique est devenue indispensable avec le RGPD

Avant le RGPD, la charte informatique relevait surtout du droit du travail : encadrer l’usage personnel des outils, prévenir la fraude informatique, protéger la propriété intellectuelle. Le RGPD a ajouté une dimension supplémentaire : la charte est désormais un élément central de la sécurité des données personnelles.

L’article 32 du RGPD impose au responsable de traitement de mettre en œuvre des « mesures techniques et organisationnelles appropriées » pour assurer un niveau de sécurité adapté au risque. La charte informatique est la mesure organisationnelle de base : elle formalise les règles que chaque collaborateur doit respecter lorsqu’il manipule des données. La CNIL la recommande explicitement dans son guide de la sécurité des données personnelles (fiche « Définir un cadre pour les utilisateurs »), en préconisant d’y intégrer au minimum les règles d’authentification, les consignes de sécurité, les modalités d’utilisation des équipements et les sanctions applicables.

Il faut distinguer la charte de la politique de protection des données : la charte s’adresse aux utilisateurs internes et encadre l’usage des outils ; la politique décrit la stratégie globale de conformité. Les deux sont complémentaires — l’une opérationnelle, l’autre stratégique.

Les clauses obligatoires d’une charte informatique RGPD

Le tableau suivant récapitule les blocs indispensables et leur fondement.

Bloc de la charte Objet Fondement principal
Périmètre et utilisateurs Équipements, personnes, contextes couverts Art. 32 RGPD
Authentification / mots de passe Règles d’accès et de secret Art. 32 RGPD + reco. CNIL 2022
Usage des données personnelles Minimisation, extraction, transferts Art. 5(1)© et 32 RGPD
Surveillance des outils Journalisation, filtrage, DLP Art. L.1121-1 C. trav. + art. 12/13 RGPD
Usage personnel toléré Limites de l’usage privé Jurisprudence sociale
Signalement des incidents Alerte violation de données Art. 33 RGPD
Sanctions Échelle disciplinaire Art. L.1321-1 C. trav.

Périmètre et utilisateurs concernés

La charte doit définir clairement son champ : quels équipements (postes, téléphones professionnels, tablettes, accès VPN, terminaux personnels en BYOD), quels utilisateurs (salariés, intérimaires, stagiaires, prestataires externes) et dans quels contextes (locaux, télétravail, déplacements). Les chartes les plus efficaces couvrent explicitement le BYOD (Bring Your Own Device) et le télétravail — deux situations qui multiplient les risques de fuite de données.

Règles d’authentification et gestion des mots de passe

La CNIL a actualisé ses recommandations sur les mots de passe en 2022. La charte doit reprendre ces exigences :

  • longueur minimale de 12 caractères (ou 8 avec un mécanisme de restriction d’accès, type blocage après plusieurs échecs) ;
  • interdiction de communiquer son mot de passe à un tiers, y compris au service informatique ;
  • obligation de verrouiller son poste dès qu’on s’en éloigne ;
  • authentification multifacteur pour les accès sensibles et distants ;
  • utilisation recommandée d’un gestionnaire de mots de passe.

Ces règles alimentent directement l’obligation de sécurité de l’article 32.

Règles d’utilisation des données personnelles

C’est le cœur de la dimension RGPD de la charte. Chaque utilisateur doit savoir qu’il ne peut :

  • accéder qu’aux données strictement nécessaires à ses missions (principe de minimisation, art. 5(1)©) ;
  • extraire ou copier des données personnelles hors des procédures prévues ;
  • transférer des données sur des supports non autorisés (clé USB personnelle, cloud personnel, messagerie privée) ;
  • communiquer des données personnelles à des tiers non habilités.

La charte doit aussi rappeler l’obligation de signaler immédiatement toute suspicion de violation de données au DPO ou au responsable sécurité. L’article 33 impose une notification à la CNIL dans les 72 heures : chaque heure compte, et le circuit d’alerte interne doit être connu de tous. Nous fournissons un modèle de notification de violation à la CNIL sous 72 h pour outiller cette étape.

Surveillance et contrôle des outils informatiques

C’est le sujet le plus sensible. L’employeur a un droit de contrôle sur l’utilisation des outils professionnels, mais ce contrôle doit respecter les principes de proportionnalité (art. L.1121-1 du Code du travail) et de transparence (information préalable des salariés, art. 12 et 13 du RGPD). La charte doit préciser :

  • quels outils de surveillance sont déployés (filtrage URL, journalisation des accès, DLP) ;
  • quelles données sont collectées et pourquoi — la base légale est généralement l’intérêt légitime de l’employeur ;
  • la durée de conservation des journaux — la CNIL recommande en principe 6 mois pour les logs de connexion ;
  • les droits des salariés sur ces données, et les modalités d’exercice du droit d’accès.

L’erreur la plus fréquente est de déployer des outils de surveillance sans les mentionner dans la charte. Le principe est constant en droit du travail (article L.1222-4 du Code du travail) : aucune information concernant personnellement un salarié ne peut être collectée par un dispositif qui n’a pas été porté préalablement à sa connaissance. Un dispositif de contrôle non déclaré est inopposable, et les preuves qui en sont issues peuvent être écartées.

Usage personnel toléré

La jurisprudence admet un usage personnel « raisonnable » des outils professionnels. La charte doit fixer les limites : navigation web personnelle pendant les pauses, messagerie personnelle identifiée comme telle (objet « personnel » ou dossier dédié), interdiction de téléchargements illicites. Point RGPD à ne pas manquer : l’employeur ne peut consulter les éléments identifiés comme personnels qu’en présence du salarié ou après l’en avoir informé, sauf risque grave dûment justifié.

Sanctions en cas de non-respect

La charte doit prévoir une échelle de sanctions proportionnées : avertissement, mise à pied, licenciement pour faute. Pour être opposable, elle doit avoir été adoptée selon les formes du règlement intérieur (art. L.1321-1 et suivants du Code du travail). Rappelons par ailleurs que certains manquements exposent aussi à des sanctions pénales : l’article 226-17 du Code pénal punit le fait de procéder à un traitement sans respecter les mesures de sécurité prescrites de 5 ans d’emprisonnement et 300 000 € d’amende.

Comment mettre en œuvre la charte dans votre organisation

Étape 1 — Impliquer les bonnes parties prenantes

La rédaction ne peut pas être l’affaire du seul DPO. Associez :

  • la DSI (aspects techniques : quels outils, quels contrôles) ;
  • les RH (articulation avec le droit du travail) ;
  • la direction juridique (conformité Code du travail + RGPD) ;
  • le DPO (cohérence avec le registre et les politiques de protection des données). Les TPE/PME sans DPO interne peuvent s’appuyer sur un DPO externalisé pour cet arbitrage.

Étape 2 — Rendre la charte opposable via le règlement intérieur

Pour que la charte soit juridiquement opposable, elle doit être annexée au règlement intérieur. La procédure implique :

  1. rédaction du projet de charte ;
  2. consultation du CSE (avis obligatoire) ;
  3. communication à l’inspection du travail ;
  4. dépôt au greffe du conseil de prud’hommes ;
  5. affichage et diffusion aux salariés, avec un délai avant entrée en vigueur.

Sans cette procédure, la charte n’a qu’une valeur indicative et l’employeur ne pourra pas sanctionner un salarié pour non-respect.

Étape 3 — Former et faire signer

Chaque salarié doit recevoir un exemplaire et signer un accusé de réception. Au-delà de l’aspect juridique, une session de sensibilisation reste indispensable : la CNIL insiste sur le fait que la simple remise du document ne suffit pas, les utilisateurs devant comprendre les enjeux. Pour les nouveaux arrivants, la charte doit faire partie du parcours d’intégration, au même titre que le règlement intérieur.

Étape 4 — Réviser régulièrement

Une charte rédigée en 2018 est aujourd’hui dépassée. Le télétravail massif, l’IA générative, le BYOD généralisé et les recommandations CNIL actualisées imposent une mise à jour. Révisez la charte au moins tous les deux ans, ou à chaque changement significatif de l’infrastructure IT ou des pratiques. La charte doit être intégrée à votre audit RGPD périodique.

Les clauses spécifiques 2026 à ne pas oublier

Intelligence artificielle et outils génératifs

L’utilisation d’outils d’IA générative par les salariés pose des risques majeurs de fuite de données. La charte doit prévoir :

  • l’interdiction de saisir des données personnelles ou confidentielles dans des outils d’IA non approuvés ;
  • la liste des outils d’IA autorisés et leurs conditions d’utilisation ;
  • l’obligation d’informer le DPO avant tout nouveau traitement impliquant de l’IA.

Cette mise à jour est d’autant plus pressante avec l’entrée en application progressive du Règlement européen sur l’IA : voir notre suivi des recommandations de la CNIL sur l’IA et le calendrier de l’AI Act.

Télétravail et accès distants

La charte doit couvrir les règles propres au télétravail : usage obligatoire du VPN, interdiction des réseaux Wi-Fi publics non sécurisés, règles de stockage (pas de fichiers professionnels sur le disque personnel), verrouillage du poste en présence de tiers. Ces points sont développés dans notre guide RGPD et télétravail.

Prestataires et sous-traitants

La charte ne s’adresse souvent qu’aux salariés, en oubliant les prestataires et intérimaires qui ont pourtant accès au système d’information. L’article 28 du RGPD impose que tout sous-traitant respecte des obligations de sécurité équivalentes. La charte doit couvrir explicitement ces populations, ou une version adaptée doit leur être soumise. Une clause de confidentialité dédiée dans les contrats de prestation complète utilement le dispositif.

Erreurs fréquentes dans les chartes informatiques

Charte trop vague sur les données personnelles

Beaucoup de chartes se contentent d’un « l’utilisateur doit respecter le RGPD ». C’est insuffisant. La charte doit détailler concrètement ce que le salarié peut et ne peut pas faire : interdiction de copier des fichiers clients sur une clé USB, obligation d’utiliser les outils de chiffrement fournis, procédure de signalement en cas d’email suspect contenant des données.

Absence de mise à jour depuis le RGPD

De nombreuses chartes datent de 2015-2016 et n’ont jamais été actualisées. Elles mentionnent encore la seule loi Informatique et Libertés sans référence au règlement européen, ne prévoient aucune notification des violations et ignorent les droits des personnes. Une charte obsolète est presque aussi risquée qu’une absence de charte.

Surveillance disproportionnée

Certaines chartes prévoient un contrôle systématique de la navigation et des emails de tous les salariés. La surveillance doit rester proportionnée à l’objectif. Un contrôle ciblé, déclenché par un incident, est admis ; une surveillance permanente et généralisée ne l’est pas, sauf circonstances exceptionnelles justifiées.

Oubli des prestataires externes

Comme indiqué, la charte oublie souvent les intervenants externes. Or ce sont fréquemment eux qui présentent la plus grande surface de risque (accès distants, comptes partagés). Traitez cette population de front.

Modèle : structure type d’une charte informatique 2026

Une charte conforme s’articule en général autour des sections suivantes. Vous pouvez repartir de notre modèle de charte informatique et l’ajuster.

  1. Objet et champ d’application (équipements, utilisateurs, contextes)
  2. Règles d’accès et d’authentification
  3. Usage des ressources informatiques et usage personnel toléré
  4. Protection des données personnelles et confidentialité
  5. Sécurité, sauvegardes et signalement des incidents
  6. Dispositifs de surveillance et de contrôle (nature, finalité, durée)
  7. Télétravail et mobilité
  8. Intelligence artificielle et outils SaaS
  9. Prestataires et intervenants externes
  10. Sanctions et modalités d’entrée en vigueur

Modèle indicatif fourni à titre documentaire — ne constitue pas un conseil juridique. À adapter à votre contexte avant usage. Version 2.0 — juillet 2026.

Ce qu’il faut retenir

  • La charte informatique est une mesure de sécurité attendue au titre de l’article 32 : son absence peut être retenue comme un facteur défavorable lors d’un contrôle.
  • Elle doit couvrir authentification, usage des données personnelles, surveillance des outils, télétravail, IA et sanctions.
  • Pour être opposable, elle doit être annexée au règlement intérieur (consultation CSE, dépôt au greffe).
  • Tout dispositif de surveillance doit être porté à la connaissance des salariés (art. L.1222-4 du Code du travail), sous peine d’inopposabilité.
  • Les chartes antérieures à 2020 doivent être révisées pour intégrer télétravail, BYOD et IA générative.

FAQ

La charte informatique est-elle obligatoire au titre du RGPD ?

Le RGPD n’impose pas explicitement une charte informatique. Mais l’article 32 impose des mesures organisationnelles de sécurité, et la CNIL considère la charte comme une mesure incontournable. Son absence a été relevée dans plusieurs sanctions comme un élément défavorable au titre de l’obligation de sécurité. En pratique, pour toute organisation employant des salariés, la charte est un incontournable de la conformité.

Quelle différence entre charte informatique et politique de protection des données ?

La charte informatique s’adresse aux utilisateurs internes (salariés, prestataires) et encadre l’utilisation des outils IT. La politique de protection des données décrit la stratégie globale de conformité RGPD de l’organisation. Les deux documents sont complémentaires : la charte est un outil opérationnel, la politique un cadre stratégique.

Comment rendre la charte opposable aux salariés ?

La charte doit être annexée au règlement intérieur et adoptée selon la procédure du Code du travail : consultation du CSE, transmission à l’inspection du travail, dépôt au greffe du conseil de prud’hommes. Sans cette procédure, un salarié sanctionné pour non-respect pourra contester la sanction devant les prud’hommes.

Peut-on surveiller la navigation internet des salariés via la charte ?

Un contrôle est possible, mais il doit être proportionné et transparent. La charte doit décrire les dispositifs déployés, leur finalité, les données collectées et leur durée de conservation. Un dispositif non porté à la connaissance des salariés est inopposable (art. L.1222-4 du Code du travail), et un contrôle individuel permanent et systématique est en principe disproportionné.

Faut-il mettre à jour la charte pour l’IA générative ?

Oui. L’utilisation non encadrée d’outils d’IA générative par les salariés présente un risque réel de divulgation de données personnelles et confidentielles. La charte doit lister les outils autorisés, interdire la saisie de données sensibles et prévoir une procédure de validation avant tout nouvel usage d’IA. C’est aujourd’hui l’une des mises à jour les plus urgentes, compte tenu du déploiement de l’AI Act. La documentation, le versionnage et la diffusion de la charte auprès des collaborateurs sont exactement le type de processus qu’un logiciel RGPD permet d’industrialiser au sein du registre de conformité.

Tous les combien faut-il réviser la charte informatique ?

Au moins tous les deux ans, et à chaque changement significatif : nouvel outil de surveillance, adoption d’une solution d’IA, passage au télétravail, refonte de l’infrastructure. Une charte figée devient rapidement décalée par rapport aux pratiques réelles, ce qui affaiblit sa portée juridique et sa valeur de sensibilisation.


Thiébaut Devergranne, docteur en droit (Paris II, 2007), est le fondateur de donneespersonnelles.fr et de Legiscope, logiciel de conformité RGPD. Il forme des DPO et accompagne des entreprises en mise en conformité depuis plus de vingt ans.

Thiébaut Devergranne
Docteur en droit des nouvelles technologies (Paris II)

Docteur en droit, Thiébaut Devergranne travaille en droit des nouvelles technologies et en protection des données personnelles depuis plus de 20 ans. Il a accompagné des centaines d'organisations dans leur mise en conformité RGPD et est le fondateur de Legiscope, logiciel de conformité RGPD.

En savoir plus sur l'auteur →