Dans le cadre du RGPD ou Règlement Européen sur la Protection des Données Personnelles, les entreprises qui ne se sont pas dotées d’une charte informatique doivent pallier ce manquement. Pour rappel, la charte informatique a, entre autre pour but de faire respecter les obligations liées au RGPD. Elle fixe les droits et les obligations en matière d’utilisation du système informatique au sein d’une entreprise, d’une administration ou d’une association. Ce document doit respecter le formalisme et les règles de fond qui s’appliquent au règlement intérieur et a d’ailleurs la même valeur que ce dernier.
La charte informatique et le RGPD
La charte informatique est un texte qui doit être élaboré par toute entreprise souhaitant réglementer l’usage des systèmes d’information de ses employés, agents, adhérents, membres… Cette charte est un document qui doit être annexé au règlement intérieur de la structure. Les salariés ou agents n’ont donc d’autre choix que d’accepter les conditions stipulées dans le document ou d’interrompre tout lien avec l’entreprise. Depuis le 1er janvier 2017, la charte informatique peut être utilisée pour réglementer le droit à la déconnexion défini par la Loi Travail (Loi El Khomri).
La charte informatique se doit d’être particulièrement attentive quant à l’utilisation des données personnelles par les salariés dans le cadre du RGPD. Son contenu doit notamment stipuler les conditions d’accès des salariés aux fichiers de l’entreprise ainsi qu’à ceux des clients. D’ailleurs, la CNIL recommande aux entreprises de faire signer aux salariés concernés un engagement de confidentialité ou de prévoir une clause qui s’y réfère dans le contrat de travail.
Quelles sont les informations que doit contenir la charte informatique ?
Le contenu de la charte informatique dépend du contexte et des préoccupations de l’organisation qui l’impose. En général, le document doit prendre en compte l’équilibre qui doit exister entre les intérêts de l’organisation qui la met en place et ses salariés, agents, membres ou adhérents. Des modèles de charte informatique peuvent être consultés sur les sites internet notamment celui de la CNIL où de nombreux modèles de mentions d’information sont accessibles.
Dans tous les cas, il faut – autant que faire se peut- éviter d’imposer des obligations trop contraignantes qui risqueraient de contrevenir à certaines libertés ou droits des salariés. Ces derniers ne pourront pas, non plus, aller à l’encontre des interdits liés aux droits d’auteur sur internet, faute de quoi, ils pourraient engager la responsabilité de l’entreprise. Il en est de même pour certaines pratiques qui pourraient porter atteinte à la dignité humaine ou celles qui consistent à divulguer des informations pouvant porter préjudice à l’organisation.
La CNIL énumère les informations minimales indispensables que l’on doit retrouver dans la charte informatique :
- Le rappel des règles de protection des données et les sanctions encourues en cas de non-respect;
- Les modalités d’intervention des équipes chargées de la gestion des ressources informatiques dans l’entreprise;
- Les moyens d’authentification utilisés par l’entreprise;
- Les modalités d’utilisation des moyens informatiques et de télécommunications mis à disposition (poste de travail, équipements nomades, espaces de stockage individuels, réseaux locaux, internet, messagerie électronique et téléphonie);
- Les conditions d’administration du système d’information, et l’existence, le cas échéant, de systèmes automatiques de filtrage, systèmes automatiques de traçabilité et gestion du poste de travail;
- Les sanctions encourues en cas de non-respect de la charte.
Obligations et interdiction faites aux salariés dans la charte informatiques
- Signaler au service informatique interne toute violation ou tentative de violation suspectée de son compte informatique et de manière générale tout dysfonctionnement;
- Verrouiller son ordinateur dès que l’on quitte son poste de travail;
- Respecter certaines procédures afin d’encadrer certaines opérations sensibles (par exemple copie de données sur support amovible);
- Interdiction de communiquer son mot de passe à un tiers;
- Interdiction de copier, installer ou modifier ou détruire des logiciels sans autorisation;
- Interdiction de supprimer des informations dès lors que cela ne relève pas des taches habituelles incombant au salarié.
La charte informatique est-elle être obligatoire en entreprise ?
Une entreprise doit établir une charte informatique si elle doit procéder au traitement des données personnelles. Dans tous les cas, le document peut être imposé aux employés si elle est annexée au règlement intérieur de la structure et déposée au greffe du conseil des Prud’hommes et être communiquée à l’inspection du travail. Si c’est le cas, la violation de la charte informatique peut donner lieu à une sanction interne.
Afin de pallier aux agissements néfastes, l’organisation qui se dote de la charte informatique va, dans la majorité des cas, imposer de manière unilatérale un droit de regard sur les pratiques des employés ou membres. Ce droit de regard porte généralement sur une période suffisamment longue pour que les utilisateurs du système informatique s’habituent à respecter scrupuleusement les règles établies. De plus, la charte informatique prévoit aussi des sanctions en cas de violations des obligations. Cela peut aller de simples sanctions disciplinaires aux poursuites pénales.