La charte informatique : aussi indispensable à la sécurité que délicate à utiliser

une charte informatique pour quoi faire ?

La charte informatique a pour objectif de fixer les règles d’utilisation des ressources informatiques et communications électroniques de l’entreprise. Elle établit les droits et les obligations des utilisateurs du système d’information en vue d’en assurer la sécurité. L’enjeu consiste à protéger le patrimoine informationnel de l’entreprise. Et partant, elle permet de valider et de mettre en conformité légale les opérations de cyber-surveillance et de cyber-protection des salariés ainsi que la collecte licite de preuves électroniques nécessaires en cas de contentieux.

UN projet collaboratif

Une charte se gère en mode projet. Il faut l’intervention de plusieurs directions : sécurité informatique, juridique, RH, délégué à la protection des données. Le document doit se fonder sur la politique de sécurité de l’information existante. Il sera guidé par les principes de transparence et de proportionnalité des mesures envisagées.

Seront pris en compte les usages des moyens mis à disposition, effacement des données en cas de vol ou perte, outils de contrôle et de surveillance utilisés, modes de connexion et d’accès au système d’information, mobilité et réseaux sociaux, règles de bon usage des ressources, limites d'utilisation et interdictions, comme par ex. la consultation de sites ludiques ou porno. Enfin, la charte établira une séparation entre les éléments professionnels (tout message et utilisation étant présumés "pro") et privés des salariés (usage raisonnable) en prévoyant une labellisation de ces messages et fichiers par un marquage spécifique "privé" en vue de leur protection.

Une fois finalisée pour être annexée ou intégrée au règlement intérieur, la charte sera transmise aux instances représentatives du personnel pour avis.

UN document contraignant

De nombreuses décisions judiciaires ont consacré l’usage de la charte et sanctionnées les pratiques en infractions avec ses dispositions.

La Cour de cassation a jugé que le non respect de la charte informatique par un directeur adjoint (se connecter avec le mot de passe d’un autre salarié au poste du directeur de l’entreprise) était constitutif d’une faute grave justifiant son licenciement (Cass. Soc., 21 décembre 2006).

Plus récemment, la Cour d’appel d’Aix-en-Provence (13 janvier 2015) a validé le licenciement pour faute grave d’une salariée ayant consulté des sites à des fins personnelles (vente aux enchères, mode, forums, plaisanteries érotiques, ...) pendant son temps de travail, en contradiction avec la charte informatique qui interdisait l’accès à ce genre de sites.

La Cour d’appel de Paris (10 avril 2014) a jugé que l’usage personnel des outils informatiques en violation de la charte informatique annexée au règlement intérieur, "qui plus est par un administrateur chargé justement de respecter et de faire respecter cette charte", constituait une faute grave (utilisation personnelle notamment pour une société qu’il avait créée, pour télécharger des séries télé et pour obtenir des infos confidentielles sur les autres salariés).

UN outil de sécurité, même pour les PME

La charte est l’outil privilégié de la sécurité des systèmes d’information et de l’information des grandes entreprises (nationales et internationales), mais aussi des administrations et autres collectivités publiques. Cependant, les principes applicables aux entreprises sont identiques quelle que soit leur taille. C’est pourquoi les TPE et les PME ont également intérêt à disposer d’un tel document à des fins de sécurité juridique et technique.

Toutefois, cet article ne saurait épuiser le sujet et d’autres aspects seront analysés prochainement.

Eric A. CAPRIOLI, Avocat à la Cour de Paris, Docteur en droit

Sélectionné pour vous

Un député français dépose une plainte contre ChatGPT auprès de la Cnil

Quels impacts contractuels suite à l'incendie dans les data centers d'OVHcloud ?

Twitter va devoir détailler sa politique de modération en France