Logo de l'entreprise CYTIAC consultant en Informatique et Cybersécurité

Le Blog

Comment établir une charte informatique pour votre entreprise

Posté le : 2 Fév 2024
Par : Arnaud Chastillon
Commentaires :0
Temps de lecture : 6 minutes
image de mains passant une charte informatique a un collaborateur

Etablir une charte informatique

La création d’une charte informatique est essentielle dans le monde de l’entreprise où les activités professionnelles reposent largement sur les technologies de l’information. Cette charte, document formel et structuré, vise à réguler et à orienter l’utilisation des outils informatiques au sein de votre entreprise.

Contenu et structuration de votre charte informatique

 

Sa structuration et son contenu doit permettre de couvrir un large spectre, tout en restant précise sur les attendus de votre entreprise. Une charte informatique dans une école ne sera pas la même que dans une PME, qui sera elle-même différente de celle d’un grand groupe…

Pour faire de manière simple, elle doit s’articuler suivant le modèle ci-dessous, qu’il vous faut adapter et personnaliser suivant votre domaine d’activité. En effet, si vous êtes contraint par des obligation réglementaires, l’accent se portera sur la confidentialité et la sécurité.

 

Que doit-elle contenir ?

Elle doit couvrir, au minimum, les informations suivantes qui sont structurées en thèmes portant sur :

  • L’objectif
  • La protection des données
  • La sécurité
  • La gestion des ressources logicielles et matérielles
  • La sensibilisation
  • Les mesures de contrôle
  • Les mesures de sanction

Mais bien sûr, vous êtes libre de développer et structurer autrement son contenu, du moment que vous respectez, bien entendu, les obligations règlementaires.
Le conseil d’un cabinet d’avocat est fortement recommandé étant donné la portée juridique de ce document qui sera soit annexé à un contrat de travail ou au règlement intérieur de l’entreprise.

 

L’objectif :

L’objectif de cette charte informatique est de contribuer à la préservation de la sécurité du système d’information de l’entreprise, en faisant de l’utilisateur un acteur essentiel à la réalisation de cet objectif. Elle définit les moyens adéquats pour protéger les informations les plus sensibles.

L’objectif est l’entrée en matière, le point d’entrée où vous développez de manière synthétique, ou pas, la destination de ce document.

 

Protection des données confidentielles :

Votre document doit contenir de manière claire les réponses aux interrogations d’usage qui peuvent être un questionnement de vos utilisateurs ou collaborateurs :

  • Etablir des directives claires quant à la manière de traiter et de protéger les données confidentielles de votre entreprise.
  • Définir les informations considérées comme sensibles
  • Expliquer les mesures de sécurité spécifiques pour éviter tout accès non autorisé, assurant ainsi la confidentialité des données.
  • Informer sur l’identité du délégué à la protection des données et comment le contacter

 

Gestion des ressources informatiques :

Elle détaille les droits et responsabilités des utilisateurs en ce qui concerne l’utilisation des ressources informatiques mises à leur disposition. Cela inclut les logiciels, le matériel, les réseaux et les données.

En clarifiant ces aspects, la charte vise à optimiser l’efficacité des ressources tout en prévenant les abus. Il est nécessaire de détailler exactement l’utilisation qui est accordée à l’utilisateur final afin qu’il soit clair pour celui-ci.

  • Le poste de travail ;
  • Les équipements nomades (notamment dans le cadre du télétravail) ;
  • Les espaces de stockage individuel ;
  • Les réseaux locaux, distant, wifi, vpn ;
  • Les conditions d’utilisation ou interdiction des dispositifs personnels ;
  • L’accès à Internet, détailler son filtrage et la rétention des données ;
  • La messagerie électronique ;
  • La téléphonie fixe et mobile.

Au sujet de la téléphonie mobile, il est fortement conseillé de faire une charte dédiée car l’utilisation peut être assujetti à des conditions spécifique d’avantage en nature lié au contrat de travail et aussi de contraintes technico-commerciales liées à votre opérateur et pouvant changer suivant votre abonnement.

 

Sécurité informatique :

La charte informatique énonce des directives précises concernant les meilleures pratiques en matière de sécurité. Cela peut englober la création et la gestion de mots de passe sécurisés, l’utilisation d’outils antivirus, d’utilitaires de surveillance des accès, pare-feu, ainsi que la sensibilisation aux menaces potentielles.

Son objectif est de renforcer la posture de sécurité de l’entreprise et cela couvre :

  • Le signalement au service informatique interne de toute violation ou tentative de violation suspectée de son compte informatique, toute perte ou vol de matériel et, de manière générale, tout dysfonctionnement ;
  • Les politiques de gestion des identifiant/mot de passe et leur confidentialité ;
  • L’interdiction d’installation, de copie, modification, destruction des logiciels et leur paramétrage sans autorisation ;
  • Le verrouillage de son ordinateur dès l’absence de son poste de travail ;
  • L’interdiction d’accéder, tenter d’accéder, ou supprimer des informations si cela ne relève pas des tâches incombant à l’utilisateur ;
  • Du respect des procédures préalablement définies par l’entreprise afin d’encadrer les opérations de copie de données sur des supports amovibles, notamment en obtenant l’accord préalable du supérieur hiérarchique et en respectant les règles de sécurité.
  • Et surtout, les actions à mener par l’utilisateur en cas de Cyberattaque

Cela doit être complet et détaillé afin de protéger l’entreprise comme l’utilisateur final. Si vous le pouvez, établissez des fiches de procédures de qualité normalisées, identifiées afin de d’indiquer son numéro dans votre document qui permet de renvoyer l’utilisateur à la lecture de celle-ci.

 

Gestion des usages professionnels et personnels :

Définir clairement les frontières entre l’utilisation professionnelle et personnelle des outils informatiques, et interdire les appareils personnels utilisés au travail. Cette distinction contribue à prévenir les conflits d’intérêts, à maintenir la productivité et à protéger les données professionnelles.

Aussi, laisser les collaborateurs venir avec leur matériel personnel peut souligner un manque d’investissement de l’entreprise à fournir les outils de travail au collaborateur salarié. Sujet qui peut sembler, au demeurant, innocent mais qui pourrait conduire à une demande de reconnaissance de la part du salarié, voir des debordements.

Il faut bien distinguer cela, car si un collaborateur du service informatique devait agir pour dépanner un matériel personnel, plusieurs interrogations peuvent se poser :

  • Comment gérer pour l’intervenant la visualisation des données personnelles ;
  • Comment gérer cette différenciation ;
  • Quelles sont les responsabilités en cas de dommage matériel, destruction de données, fuites d’informations.

Conseil :
Ne pas autoriser l’utilisation de matériel informatique personnel au sein de l’entreprise et la meilleure solution.

 

Sensibilisation des utilisateurs :

L’impératif crucial dans l’éducation et la sensibilisation des utilisateurs aux enjeux informatiques, c’est l’apprentissage fait avec pédagogie !

Fournir des informations détaillées sur les risques potentiels, les bonnes pratiques à adopter et les conséquences en cas de non-respect des règles énoncées, favorisant ainsi une culture de responsabilité au sein de l’organisation.

Détaillez les obligations de remontée d’informations via des canaux directs, simple d’accès, afin de garantir une bonne réactivité.

Ne pas oublier qu’en cas de Cyberattaque paralysante, il est parfois utile d’avoir un numéro d’urgence dégagé de l’infrastructure (n° de mobile par exemple). En effet, si votre téléphonie d’entreprise est hors service, ou votre routeur, vos équipements de communications sont inopérants !

 

Mesures de contrôle :

Afin de prévenir tout comportement inapproprié, la charte informatique établit généralement des mesures de contrôle qui peuvent être étendues et appliquées sur des périodes relativement longues dans un but dissuasif. Cependant, il est impératif de respecter les dispositions légales.

Il est donc essentiel de souligner que la charte informatique doit informer les salariés des moyens de surveillance informatique mis en place pour suivre leurs activités

  • Détailler les moyens de surveillance des accès réseau, Internet, email
  • Les données recueillies
  • L’objectif de ce recueil
  • Le temps de rétention des données recueillies

 

Mesures de sanction :

La charte ayant une valeur juridique, l’employeur pourra sanctionner le salarié ayant enfreint l’une des règles fixées. Elles doivent être indiquées sur la charte informatique afin d’informer clairement l’utilisateur des sanctions encourues. Mais attention, bien que cela soit écrit, établir la preuve d’une mauvaise utilisation peut s’avérer compliqué, voir facilement contestable. Etant donné que le recueil de preuves légales doit respecter une procédure très stricte et non contestable (horodatage, méthodologie, consignation et personnel ayant délégation pour le faire) vous pourriez vous retrouver dans une position très inconfortable devant un tribunal.

 

Respect de la législation en vigueur

De par l’évolution constante des lois et des réglementations liées à la protection des données et à la sécurité informatique, vous devrez la mettre à jour en conséquence. Cela vous garantit une conformité aux normes légales en vigueur, réduisant ainsi le risque de sanctions ou d’amendes qui pourraient vous être infligées en cas de non-respect d’obligations légales.

Pour cela, une fois sa rédaction terminée, il vous faudra une relecture par un avocat spécialisé afin d’avoir un avis consultatif.

Suite à cette relecture et validation, il vous faudra :

  • La concevoir sur un papier avec l’entête de l’entreprise, les informations sur sa date d’entrée en vigueur, son n° de version, son rédacteur et son signataire (représentant légal)
  • Faire le dépôt de cette charte informatique au greffe du conseil de Prud’hommes (attention, dans le cas de sites multiples dans différentes régions)
  • Communiquer la charte informatique à l’inspection du travail
  • Informer vos collaborateurs en la présentant
  • L’annexer au règlement intérieur
  • La rendre disponible soit par un l’intranet, une gestion documentaire ou un emplacement réseau partagé. Au choix

 

Concernant l’obligation de cette charte :

Il est plutôt judicieux de l’annexer au règlement intérieur de l’entreprise. En effet, annexer celle-ci au contrat de travail n’est alors applicable qu’aux salariés embauché postérieurement à l’entrée en vigueur du document. Pour les salariés déjà en place, vous devrez alors rédiger un avenant au contrat afin d’y insérer la charte, que le salarié peut refuser… Et ce refus ne vaut pas pour une faute, cela suspend l’utilisation de l’outil numérique au salarié !

 

En conclusion

Votre charte informatique est un outil stratégique qui contribue de manière intelligente à la protection, à la confidentialité et à l’utilisation judicieuse des outils informatique dans votre entreprise. Elle établit un cadre solide pour garantir la sécurité, minimiser les risques et promouvoir une culture de respect et de responsabilité.

Dans tout les cas, faite vous aider par un cabinet spécialisé pour sa correction et ceci afin de respecter le cadre légal. Ainsi vous serez préservé en cas d’action juridique d’un salarié à votre encontre.

 

Espérant que cela vous sera utile

Arnaud Chastillon

Arnaud Chastillon

Entrepreneur et dirigeant de CYTIAC
https://www.cytiac.fr

Consultant spécialisé en Informatique et Cybersécurité, j’ai à cœur de trouver des solutions simples à des défis complexes. Mon objectif est d’aider mes clients à naviguer dans le monde numérique en toute confiance, en mettant en place des systèmes fiables et sécurisés.