Pourquoi mettre en oeuvre une charte informatique dans votre entreprise ?
La charte informatique est avant tout destinée à établir des règles à l'égard des salariés concernant l'utilisation des systèmes d'information de l'employeur (messagerie électronique, logiciels métiers, intranet, Internet,...), mais elle peut également permettre de rappeler de bonnes pratiques aux salariés. Pour qu'elle soit efficace, elle doit toutefois être opposable aux salariés.
Je m'abonneA bien des égards, la charte informatique est un outil de plus en plus indispensable pour une entreprise, à la fois dans un souci de régulation et de sécurité de ses systèmes informatiques, mais également pour la protection de ses données confidentielles et de ses droits de Propriété Intellectuelle.
Les modalités d'accès aux systèmes d'information
L'idée est de mettre par écrit les modalités de transmission des identifiants et mots de passe requis pour permettre au salarié d'accéder aux systèmes d'information.
C'est également l'occasion de rappeler les règles liées à la confidentialité et à la sécurité des systèmes informatiques avec notamment :
Le rappel que les identifiants et mots de passe sont strictement temporaires, personnels et intransmissibles à l'égard de tiers (à l'extérieur de l'entreprise ou en interne sauf exceptions) ;
L'obligation pour chaque utilisateur salarié de modifier de façon régulière les mots de passe à des fins de sécurité ;
Les règles d'utilisation des logiciels professionnels (notamment le respect des conditions de licences) ;
Le rappel des bonnes pratiques : règles de verrouillage systématique des ordinateurs lorsque le salarié quitte son poste, ne pas laisser les identifiants et mots de passe en évidence sur un post-it à côté du poste... Ce dernier cas est étonnamment fréquent en entreprise ;
Les modalités de récupération et de suppression de ces données lors du départ du salarié.
Le rappel des obligations de confidentialité et de propriété intellectuelle
La charte informatique est le média idéal pour rappeler aux salariés leurs obligations en matière de confidentialité et de protection de la propriété intellectuelle de l'entreprise.
Il n'est en effet pas rare qu'un salarié indélicat quitte l'entreprise pour une société concurrente en emportant des données confidentielles de l'entreprise, voire des documents sensibles sur le savoir-faire de celle-ci.
Il est donc opportun de rappeler au salarié qu'il est tenu d'une obligation de confidentialité dans le cadre de son contrat de travail (très souvent complété par une clause de confidentialité), et que le fait de copier et s'approprier des données confidentielles appartenant à l'employeur constituent une violation du secret des affaires. Le salarié (ou le plus souvent l'ex-salarié) s'exposerait donc dans ce cas à des poursuites civiles ou pénales.
La régulation de l'usage privé
Les salariés peuvent utiliser les outils mis à leur disposition par l'entreprise (messagerie, navigateur internet...) à des fins privées, à condition que cela reste dans des proportions raisonnables en fréquence et en volume.
La CNIL recommande en pratique d'indiquer qu'un usage raisonnable dans le cadre des nécessités de la vie courante et familiale est toléré, à condition que l'utilisation des outils n'affecte pas les systèmes informatiques (trafic normal des messages professionnels notamment).
Pour rappel, l'employeur ne peut ouvrir les fichiers identifiés par le salarié comme étant personnels qu'en la présence du salarié ou après convocation du salarié. A défaut d'être marqués comme « personnels », les fichiers présents dans les outils professionnels du salarié sont toutefois considérés comme professionnels, et l'employeur peut y accéder librement.
Il est également important de rappeler dans la charte que les salariés n'ont pas l'autorisation de se rendre sur certains sites en utilisant les outils de l'entreprise. Il s'agit généralement des sites portant atteinte aux bonnes moeurs (pornographie, jeux en ligne, site de vente d'alcool, ...) ou des sites constituants purement et simplement des infractions pénales (pédopornographie, apologie du terrorisme, ...). En complément, il est conseillé de prévoir un filtre technique pour prévenir la connexion des salariés à ce type de sites.
L'information du salarié du traitement de ses données personnelles
La charte informatique peut également être l'occasion d'informer le salarié sur le traitement de ses données à caractère personnel, notamment les données collectées dans le cadre de la cybersurveillance.
Pour rappel, en application de la réglementation en matière de données à caractère personnel, l'employeur qui collecte de la donnée personnelle sur ses salariés doit les informer (ainsi que les instances représentatives du personnel) des finalités et modalités de ces traitements de données.
En particulier, la charte informatique va être l'occasion d'indiquer la durée de conservation des fichiers de connexions au système informatique et à Internet à des fins de contrôle, de maintenance et de garantie d'une utilisation normale du système.
L'opposabilité aux salariés
Pour être opposable au salarié (et donc servir de base d'une sanction à son encontre), la charte doit être portée à sa connaissance, généralement dès l'entrée en poste du collaborateur, et être rédigée en des termes clairs et compréhensibles.
La charte est ainsi généralement annexée au règlement intérieur de l'entreprise, et doit donc, conformément aux dispositions du Code du travail, respecter les mêmes procédures (notamment être soumise aux instances représentatives du personnel (CSE), et être communiquée à l'inspection du travail).
Pour en savoir plus
Jérémie Vessier, avocat au sein du pôle propriété intellectuelle d'Avoxa, conseille et accompagne au quotidien les entreprises dans l'élaboration et la mise en oeuvre de leur stratégie de protection de leurs droits de Propriété Intellectuelle, ainsi qu'en matière conformité à la réglementation applicable en matière de données personnelles (RGPD, loi informatique et libertés).