Vous avez des questions ? Prenez rendez-vous gratuitement en cliquant sur le bouton ci-contre.

Rechercher
Fermer ce champ de recherche.

Comment créer une charte informatique pour PME et ETI ?

Vous réfléchissez à créer une charte d’utilisation des moyens informatiques et des outils numériques pour votre entreprise ? La mise en place de cet outil a pour objectif de garantir la sécurité et l’efficacité de l’utilisation des outils numériques au sein des PME et des ETI. Ce guide complet vous aidera à comprendre l’importance de la charte informatique, à l’élaborer de manière adaptée à votre organisation et à assurer son efficacité sur le long terme.

Charte informatique : définition et objectifs

La charte informatique définit les règles d’utilisation des ressources numériques au sein de l’entreprise. Elle sert à assurer la sécurité des données et à prévenir les abus en encadrant l’usage des systèmes tels que :

  • les ordinateurs
  • les réseaux
  • les messageries électroniques
  • les mots de passe
  • Internet

D’un point de vue juridique, la charte informatique s’inscrit dans le cadre des réglementations sur la protection des données personnelles, comme le RGPD. Elle vise donc aussi à garantir le respect des droits et obligations des employé·es concernant l’utilisation de ces technologies.

Pour simplifier, la charte a 4 objectifs principaux :

  • sécurité des données et des informations sensibles de l’entreprise contre les cybermenaces et les fuites de données
  • clarté sur les droits et les devoirs des utilisateurs pour éviter les malentendus et les abus
  • conformité aux réglementations en vigueur, notamment en matière de protection des données personnelles
  • promotion d’une utilisation responsable et productive des outils numériques pour soutenir les objectifs de l’entreprise

Différences avec la charte de confidentialité

Il faut différencier la charte informatique de la charte de confidentialité, qui sont toutefois complémentaires. Voici un petit tableau récapitulatif pour comprendre leurs rôles et différences :

AspectCharte informatiqueCharte de confidentialité
ObjectifVise à définir les règles d’utilisation des systèmes d’information de l’entreprise. Couvre les aspects pratiques de l’utilisation des outils numériques, détaille les droits et obligations des utilisateurs, ainsi que les mesures de contrôle et les sanctions en cas de non-respect.Informe sur la manière dont une entreprise collecte, utilise, stocke et protège les données personnelles. Principalement orientée vers le respect des obligations légales liées au RGPD et autres lois sur la protection des données.
PortéeS’applique à l’ensemble des employés et concerne l’utilisation des ordinateurs, réseaux, messageries électroniques, et autres ressources numériques de l’entreprise.S’applique aux données personnelles des clients, employés et partenaires de l’entreprise, expliquant comment ces informations sont gérées.
ContenuInclut des directives sur la sécurité informatique, les bonnes pratiques à adopter pour éviter les risques, et les restrictions d’usage des outils professionnels.Détaille les types de données collectées, les raisons de leur collecte, la manière dont elles sont protégées, et les droits des individus concernant leurs données personnelles.

Pourquoi intégrer une charte informatique dans votre entreprise ?

Un homme devant deux écrans d'ordinateur

Étant donnée la vitesse avec laquelle de nouvelles technologies (logiciels, solutions SaaS, équipements, IA…) intègrent les PME et les ETI, il va de soi qu’un encadrement est nécessaire pour contrôler tous ces nouveaux points d’entrée à vos ressources numériques. Prenons quelques exemples quotidiens pour illustrer l’intérêt de la charte :

  • Sécurité des SI : une charte informatique aide à protéger les systèmes d’information de l’entreprise contre les cyberattaques et les accès non autorisés.
  • Conformité légale : de nombreuses réglementations, comme le RGPD, exigent des entreprises qu’elles assurent la protection des données personnelles.
  • Règles d’usage du poste : la charte précise les bonnes pratiques pour utiliser le matériel informatique de manière sûre et efficace.
  • Création des mots de passe : elle établit des exigences pour des mots de passe sécurisés afin de protéger les comptes utilisateur.
  • Emploi des messageries électroniques : la charte encourage une utilisation responsable pour éviter les menaces telles que le phishing.
  • Usage d’Internet et des réseaux sociaux : elle limite l’accès aux sites non sécurisés ou inappropriés pour minimiser les risques.
  • Utilisation à distance : elle définit les mesures de sécurité pour le télétravail, y compris l’utilisation de VPN et la protection des connexions à distance.
  • Emploi d’ordinateurs personnels : elle réglemente l’usage de dispositifs personnels pour le travail (BYOD : Bring Your Own Device) afin de prévenir les failles de sécurité.
  • Droit à la déconnexion : elle précise les règles à respecter concernant les temps de repos des salariés, en s’assurant qu’ils ne sont pas sollicités en dehors des heures de travail.
  • Amélioration de la productivité : elle participe à encadrer les distractions numériques en fixant des limites claires pour un environnement de travail plus productif.
  • Responsabilisation des employés : la charte aide à prendre conscience des responsabilités de chacun en matière de sécurité numérique et des conséquences possibles en cas de non-respect des règles.

Qui est concerné par la charte informatique en entreprise ?

Il n’existe pour le moment (2024) aucune obligation légale à mettre en place une charte informatique en entreprise. Mais la CNIL et d’autres organismes de réglementation recommandent vivement sa création pour encadrer l’usage des outils numériques et sensibiliser les employés aux risques liés à la cybersécurité. C’est aussi un pas supplémentaire pour se mettre en conformité avec la loi Informatique et Liberté.

Ce document est davantage recommandé pour les entreprises qui traitent des données personnelles, afin de se conformer aux réglementations telles que le RGPD. Mais de manière générale, toute société utilisant des moyens informatiques et des outils numériques devrait dès maintenant considérer sa création.

Concernant l’obligation de respect de la charte au sein de l’entreprise une fois implémentée, nous allons en reparler plus tard dans l’article, dans la description de son contenu. Sachez toutefois qu’il existe 3 options :

  • demander l’accord signé des salariés
  • annexer la charte informatique au contrat de travail
  • annexer la charte informatique au règlement intérieur (document obligatoire pour toute PME de plus de 20 salarié·es)

À qui confier la tâche de créer la charte informatique ?

groupe de personnes regardant sur un ordinateur portable

La production de ce document ne peut pas être l’objet d’un travail en solitaire, même dans une petite PME. Déjà parce qu’il va impacter tous les salarié·es de l’établissement : ils ont le droit d’être informé·es. Ensuite, parce qu’un processus collaboratif permet de réunir le meilleur des différentes parties prenantes, qui ont des expertises et des besoins spécifiques. Enfin, parce que vous voulez vous assurer que la charte soit réaliste et applicable.

Vous pourriez par exemple former une équipe composée d’un responsable pour chaque département, qui apportera son avis pour la conception et la rédaction :

  • équipe IT et de sécurité informatique : sections techniques de la charte
  • ressources humaines : sections relatives aux droits et obligations des employés, mesures disciplinaires en cas de non-respect des règles, RGPD, pratiques éthiques
  • service juridique : conformité aux obligations légales, conseils sur la rédaction des clauses aux implications légales
  • production, vente, comptabilité, communication… : sections relatives aux outils de production, pour ne pas entraver la productivité
  • direction générale : orientation stratégique, charte alignée sur les objectifs globaux de l’entreprise, approbation finale, mise en œuvre

Rien ne vous empêche de faire appel à des consultant·es externes (spécialistes en sécurité de l’information, expert·es en transformation numérique…) pour vous accompagner, notamment si vous ne disposez pas des ressources humaines nécessaires en interne.

La préparation de la charte : que faut-il vérifier ?

La préparation de la politique informatique nécessite une évaluation minutieuse des besoins de votre entreprise et des mesures de sécurité déjà en place ou à créer. Voici les grandes étapes à suivre la conception de votre document :

  • analyser les risques liés à l’utilisation de chaque système d’information : cyberattaques, perte de données, accès non autorisé, phishing…
  • répertorier tous les outils numériques utilisés : logiciels, appareils, réseaux…
  • s’assurer de la conformité au RGPD (Règlement Général sur la Protection des Données)
  • adapter la charte à la culture et aux valeurs de votre organisation

Vous ne savez pas par où commencer ? Dans ce cas, nous vous recommandons vivement de parcourir les fiches pratiques très complètes et les checklists fournies par la CNIL. Elles vous seront d’une grande aide pour mener à bien votre état des lieux et construire votre charte.

Plan de communication de la charte auprès des salarié·es

En parallèle, il est recommandé de prévoir des réunions d’information dans votre établissement en vue de présenter le projet de charte à vos équipes, son rôle et ses implications. Car ce nouvel énième document pourrait s’apparenter à une nouvelle contrainte.

Afin de sensibiliser les salarié·es, votre plan de communication pourrait par exemple inclure une annonce officielle de l’employeur·e, puis contenir des emails avec infographies ou encore des affichages qui donnent des exemples parlants et précis de risques que vos équipes prennent chaque jour sans s’en rendre compte, et de l’impact que cela peut avoir. Des réunions de questions et réponses, ou des formulaires de feedback peuvent faire remonter des points que vous n’aviez pas envisagés.

En parallèle, vous pourriez aussi prévoir des sessions de formation en vue d’enseigner les meilleures pratiques en matière de sécurité numérique. L’obtention du certificat PIX serait déjà un grand pas dans la sensibilisation de vos équipes.

Enfin, lorsque la charte sera en place, vous devez aussi assurer un suivi afin de contrôler que vos équipes se conforment bien aux règles édictées.

Les 8 points indispensables dans la création de la charte informatique

Architecte professionnel travaillant avec projet au bureau

Nous allons vous proposer par la suite des trames et des exemples de chartes informatiques. Mais tout d’abord, sachez qu’il n’existe pas de format formel, ni d’obligations dans la structure. Seulement des recommandations réunies en 8 sections, que vous adapterez en fonction de votre établissement et de ses besoins.

Point 1 : Rappel de l’objectif de la charte

La charte informatique a pour objectif principal de préserver la sécurité du système d’information de l’entreprise et de responsabiliser chaque utilisateur dans cet effort.

Elle établit un cadre clair qui informe les employés sur les usages permis et les bonnes pratiques à adopter. En outre, elle définit les mesures de contrôle mises en place par l’employeur et les sanctions applicables en cas de non-respect des règles.

Pour être efficace, la charte doit être rédigée de manière claire et compréhensible, quel que soit le niveau de familiarité des utilisateurs avec l’informatique. Elle sert également de support juridique en cas de contentieux, en fournissant un cadre pour la collecte de preuves numériques.

Point 2 : Des définitions claires et précises

Tout au long du document, vous veillez à inclure des définitions claires et précises des termes techniques et des concepts utilisés. Cela permet de limiter les interprétations juridiques ambiguës et d’assurer une compréhension uniforme parmi tous les utilisateurs. Votre service juridique sera d’une grande aide ici. Par exemple :

  • système d’information : ensemble des infrastructures informatiques et numériques utilisées par l’entreprise (serveurs, réseaux, logiciels…)
  • utilisateur : toute personne ayant accès aux systèmes d’information de l’entreprise (employé, partenaire, sous-traitant…)
  • authentification : méthodes utilisées pour vérifier l’identité des utilisateurs (mots de passe, cartes d’accès, dispositifs biométriques…)
  • messagerie électronique : système de communication électronique utilisé pour envoyer et recevoir les courriels professionnels
  • données personnelles : toute information relative à une personne identifiée ou identifiable, conformément au RGPD
  • etc.

Chaque définition peut tenir compte des spécificités de votre établissement. Par exemple, dans certaines entreprises, les moyens d’authentification peuvent inclure l’utilisation de clés USB sécurisées ou de jetons d’accès. Tandis que d’autres peuvent utiliser des applications d’authentification à deux facteurs. Il est important que ces spécificités soient clairement expliquées dans la charte.

Point 3 : L’objet et la portée de la charte

La charte doit clairement indiquer son objet et sa portée, c’est-à-dire les droits et devoirs des utilisateurs concernant l’utilisation des systèmes d’information de l’entreprise.

Le préciser permet de définir clairement les règles applicables et d’assurer que tous les utilisateurs comprennent leurs responsabilités et les limites de leur utilisation des systèmes d’information. Cela aide à établir un cadre structuré qui réduit les risques de comportements inappropriés ou non conformes.

Vous pourriez bien sûr opter pour un document qui rappelle seulement les grands principes de bonne utilisation de vos systèmes. Mais il reste préférable d’avoir une charte informatique suffisamment détaillée pour éviter toute interprétation divergente, tout en restant applicable à tous les utilisateurs et aux différentes situations rencontrées.

Votre charte devra aussi préciser les droits de l’administrateur ou de l’administratrice qui aura en charge le contrôle de la bonne application de la charte informatique, ainsi que la protection des systèmes. Certaines organisations choisissent même de créer des chartes spécifiques, dont voici des exemples :

Point 4 : Les règles d’usage des SI

La charte informatique établit clairement l’étendue des usages des systèmes d’information et des outils numériques mis à disposition par l’entreprise. Elle précise les pratiques autorisées, les restrictions d’utilisation et les conditions d’accès aux ressources numériques (connexions Wi-Fi, réseaux sociaux, messagerie e-mail, sites web, etc.).

Il ne faut pas hésiter à être exhaustif : la charte sert à éviter tout débat possible entre les parties. Le cas classique est l’exemple de la création d’un fichier personnel par un·e salarié·e dans un cadre professionnel, sur un ordinateur de l’entreprise.

Pour aller plus loin : L’employeur peut librement consulter un fichier informatique intitulé « Mes documents »

Point 5 : Les devoirs des utilisateurs

La charte doit clairement énoncer les devoirs des utilisateurs concernant l’utilisation des systèmes d’information. Ces devoirs découlent directement des usages autorisés définis par la charte et visent à responsabiliser les utilisateurs dans la protection des ressources numériques de l’entreprise. Le document peut notamment évoquer :

  • le respect de la confidentialité et la discrétion concernant les données sensibles
  • l’utilisation des moyens de chiffrement mis à disposition
  • la protection des moyens d’authentification envers des tiers
  • l’utilisation de mots de passe sécurisés, conformes aux bonnes pratiques de sécurité
  • la gestion de données externes pour une importation en interne
  • la responsabilité juridique des utilisateurs vis-à-vis de la sécurité de l’entreprise

Un exemple pratique ? La charte peut préciser ce qu’un utilisateur doit faire lorsqu’il reçoit un e-mail douteux, comme vérifier l’authenticité de la source avant de cliquer sur des liens ou de télécharger des pièces jointes, afin d’éviter les attaques de phishing.

Point 6 : Les mesures de contrôle

La charte doit détailler les mesures de contrôle mises en place par l’entreprise pour s’assurer que les utilisateurs respectent les règles. Notez que ces mesures doivent être proportionnées aux objectifs poursuivis et conformes aux lois en vigueur (articles L1121-1 et L1222-4 du Code du travail). Cela concerne par exemple :

  • la surveillance des connexions Internet
  • l’analyse des flux de données.
  • La conservation des données de connexion
  • le chiffrement et le déchiffrement des données
  • la gestion des accès aux systèmes critiques
  • la surveillance des messageries professionnelles

Dans tous les cas, les collaborateurs doivent être informés au sujet de ces mesures de contrôle.

Point 7 : Les sanctions internes

La charte informatique doit inclure une échelle de sanctions disciplinaires qui peut être appliquée de manière appropriée et cohérente en cas de non-respect des règles (article L1331-1 du Code du travail). Comme les mesures de contrôle, les sanctions doivent être proportionnées à la gravité du manquement et clairement expliquées aux utilisateurs. Vous pouvez par exemple établir des degrés de sanction :

  • avertissements verbaux ou écrits pour les infractions mineures avec rappel des règles
  • mises à pied temporaires en cas de violation plus grave ou d’utilisation non autorisée de logiciels
  • licenciement pour faute grave pour les infractions majeures qui compromettent gravement la sécurité de l’entreprise
  • sanctions civiles ou pénales, par exemple pour le téléchargement illégal ou la consultation de contenus illégaux

Bien sûr, il faudra prouver l’existence des fautes en fournissant des preuves tangibles, dans un cadre légal.

Point 8 : Le principe d’opposabilité de la charte

Pour que la charte informatique soit juridiquement opposable aux utilisateurs, elle doit être correctement mise en œuvre et acceptée par l’ensemble des parties concernées. Cela assure que les règles et sanctions prévues peuvent être appliquées de manière légale et efficace. Sans cette étape, les sanctions prises sur la base de la charte pourraient être contestées et invalidées par les juges en cas de contentieux.

Pour être valide, la charte doit être :

  • révisée par le CSE (Comité Social et Economique)
  • déposée au greffe du conseil de Prud’hommes de la charte informatique
  • communiquée à l’inspection du travail
  • mise à la connaissance des salariés (avec preuve que cela a été fait)

Comment imposer la charte informatique aux salariés ?

Afin de rendre la charte obligatoire dans son entreprise, l’employeur a deux solutions :

  • annexer la charte au contrat de travail : elle ne concerne que les employé·es recrutés après la mise en place de la charte. Pour les autres, il faudra un avenant au contrat de travail, qu’il est possible de refuser.
  • annexer la charte au règlement intérieur : elle devient opposable à tous les collaborateurs, sans nécessiter de signature. Notez qu’il faut en revanche un règlement intérieur, qui, rappelons-le, est obligatoire pour toute PME de plus de 20 salariés.

Pour les prestataires, la charte peut être incluse dans le contrat.

Exemples gratuits de chartes informatiques

Nous vous proposons quelques exemples de chartes accessibles sur Internet, pour vous montrer l’étendue des formats existants. N’hésitez pas à vous inspirer de ces documents pour concevoir le vôtre :

Comment garantir l’efficacité de la charte informatique sur le long terme ?

Espace de travail diversite societe entreprise

La CNIL invite chaque employeur·e à prévoir des rappels réguliers sous la forme d’e-mail, ou de tout autre moyen de communication (affichage, bulletin d’informations, réunions, séminaires, etc.), afin de rappeler aux employé·es les règles applicables et les bonnes pratiques de la charte informatique.

Mais cette mise à jour concerne aussi la charte elle-même, étant données les rapides évolutions dans le secteur : nouvelles technologies, nouveaux usages, nouvelles réglementations… Il pourrait être pertinent d’avoir un·e responsable dédié·e à la veille sur le sujet, qui pourrait alors vérifier la conformité de la charte avec ces évolutions.

Formez vos équipes à la sécurité informatique et à la création de votre charte

Vous n’avez pas les ressources en interne pour gérer ce travail de charte informatique? Plutôt que de faire appel à des prestataires externes, pourquoi ne pas envisager de renforcer vos ressources internes en formant vos salariés sur le sujet ?

Chez 3P Formations, nous disposons d’une formation spécifique à la rédaction de cette charte, éligible OPCO, avec la production de la charte prévue au programme. Profitez d’un rendez-vous gratuit pour évoquer votre projet avec notre équipe.