Charte informatique

Annexe au réglement intérieur ou au contrat de travail, elle décrit les règles d’utilisation des systèmes d’informations.

En quoi une charte va t'elle aider à la sécurité du SI ?

Elle permet de responsabiliser et sensibiliser les collaborateurs. Car elle intègre les règles, les droits et les devoirs dans le cadre de l’utilisation du système d’information. Et ceci à un niveau juridique, donc une protection pour toutes les parties prenantes.

Une charte informatique

Qu'est-ce que c'est ?

C’est un document juridique qui définit les droits et obligations des salariés concernant l’utilisateur du système d’information de l’entreprise.

A qui s'adresse t'elle ?

Elle s’adresse à tous les salariés d’une entreprise, y compris les cadres et les dirigeants (sauf mention contraire).

Peut-elle contenir des sanctions ?

Une charte informatique doit contenir des sanctions en cas de non respect/violation des règles. Celles-ci doivent respecter les règles prévues par le Code du travail et ne pas être disproportionnées.

En annexe de quel document ?

Une charte informatique est mise en annexe du contrat de travail ou en annexe du réglement intérieur. Dans ce dernier cas, il faudra respecter des procédures de mise en place.

Comment la mettre en place ?

Son projet doit être soumis au comité d’entreprise et/ou aux délégués du personnel. Une fois validé, un dépot est nécessaire auprès du greffe du conseil des prud’hommes ainsi qu’à l’inspection du travail.

Les salariés doivent en prendre connaissance via divers cannaux (affichage interne, envoi à chaque salarié) afin que cette charte soit opposable en cas de litige.

Toutes modifications devront être revalidé selon ces étapes.

Que doit t'elle contenir ?

Avant tout chose, une charte doit être le plus claire et précise possible. Ceci afin d’être comprise par l’ensemble des salariés, pour cela utiliser des termes simples et mettez en place un lexique.

Ensuite vient son objectif, celui-ci est déterminant pour fidéliser l’ensemble des salariés. Rappelez avant tout que son objectif est essentiellement pour préserver la sécurité du système d’information de l’entreprise.

Délimiter le champ d’application de la charte en incluant tous les facteurs humains et techniques en place. Ceci implique des exemples et des liens vers des procédures d’actions. Comme par exemple : comment déclarer la perte/vol de téléphone mobile professionnel, comment envoyer des documents de façon sécuriser et confidentielle, la fréquence des sauvegardes…).

Déterminer ensuite les droits et devoirs de chaque parties prenantes (salarié, administrateur informatique, responsable sécurité, l’entreprise…).

Déclarer les mesures de contrôles en vigueur au sein de l’entreprise, ceux-ci doivent respecter le principe de proportionnalité. Des mesures de « surveillance » trop intrusive et/ou ne respectant par la sphère privée des salariés ne seraient pas recevable en cas de litige.

Enfin, déterminer les sanctions « disciplinaires » à l’encontre des salariés ne respectant pas la charte. Ces sanctions devront être proportionnelles à la faute commise. Celles-ci peuvent aller jusqu’au licenciement pour faute grave.

 

Pour allez plus loin, voici des recommandations et des exemples.

La CNIL nous propose les éléments suivants à intégrer dans une charte informatique : 

  1. Le rappel des règles de protection des données et les sanctions encourues en cas de non respect de celles-ci.
  1. Le champ d’application de la charte, qui inclut notamment :
  • les modalités d’intervention des équipes chargées de la gestion des ressources informatiques de l’organisme ;
  • les moyens d’authentification utilisés par l’organisme ;
  • les règles de sécurité auxquelles les utilisateurs doivent se conformer, ce qui doit inclure notamment de :
  • signaler au service informatique interne toute violation ou tentative de violation suspectée de son compte informatique et de manière générale tout dysfonctionnement ;
  • ne jamais confier son identifiant/mot de passe à un tiers ;
  • ne pas installer, copier, modifier, détruire des logiciels sans autorisation ;
    • verrouiller son ordinateur dès que l’on quitte son poste de travail ;
    • ne pas accéder, tenter d’accéder, ou supprimer des informations si cela ne relève pas des tâches incombant à l’utilisateur ;
    • respecter  les  procédures  préalablement  définies  par  l’organisme  afin  d’encadrer  les  opérations  de copie de données sur des supports amovibles, notamment en obtenant l’accord préalable du supé- rieur hiérarchique et en respectant les règles de sécurité.
  1. Les modalités d’utilisation des moyens informatiques et de télécommunications mis à disposition comme :
  • le poste de travail ;
  • les équipements nomades (notamment dans le cadre du télétravail) ;
  • les espaces de stockage individuel ;
  • les réseaux locaux ;
  • les conditions d’utilisation des dispositifs personnels ;
  • l’Internet ;
  • la messagerie électronique ;
  • la téléphonie.
  1. Les conditions d’administration du système d’information, et l’existence, le cas échéant, de :
  • systèmes automatiques de filtrage ;
  • systèmes automatiques de traçabilité ;
  • gestion du poste de travail.
  1. Les responsabilités et sanctions encourues en cas de non respect de la charte.

*Source : https://www.cnil.fr/fr/securite-informatique-sensibiliser-les-utilisateurs (Novembre 2019)

L’ANSSI nous propose 8 points clés pour l’établissement d’une charte informatique :

  1. Définir l’objectif de la charte
  2. Renseigner avec des définitions claires et précises
  3. L’objet et sa portée avec les acteurs concernées
  4. Les règles et les usages du systèmes d’information
  5.  Définir les devoirs de l’utilisateurs
  6.  Informer sur les mesures de contrôles
  7.  Les sanctions pour non respect
  8. S’assurer de l’opposabilité de la charte

*Source : https://www.ssi.gouv.fr/uploads/2017/06/guide-charte-utilisation-moyens-informatiques-outils-numeriques_anssi.pdf (Novembre 2019)

Pour trouver des modèles de charte, vous pouvez consulter des sites internets spécialisés ou les CCI « Chambre de commerce et d’Industrie » de votre région par exemples :

  • CCI de Limoges : https://www.limoges.cci.fr/tl_files/cci-limoges/PDF/Internet/Modele%20de%20charte%20informatique.pdf
  • CCI de Lorraine : https://charte.ccil.fr/
  • CCI de Vendée : https://www.vendee.cci.fr/charte-de-protection-des-donnees-personnelles

Concernant les personnes externes à l’entreprise intervenants pour divers mandats, ils peuvent avoir accès, voir manipuler des données à caractères personnel. Afin de protéger votre système d’information faites leur signer un « engagement de confidentialité« . Ceci aura pour effet de les engager juridiquement.

La CNIL fourni un exemple : https://www.cnil.fr/fr/securite-informatique-sensibiliser-les-utilisateurs