Gérer les risques
Aujourd'hui et demain

Sûreté et sécurité

Eric Caprioli (Caprioli Associés) : « La charte informatique sert à lister les règles, les limites d'utilisation ainsi que les interdictions »

Cet avocat et docteur en droit conseille les entreprises et les collectivités dans la mise en place de chartes informatiques et communications électroniques afin de les aider à prévenir les risques juridiques, économiques et techniques liés à l'utilisation des ordinateurs, tablettes, smartphones et autres appareils.

Bon nombre de salariés accèdent avec leurs propres tablettes, smartphones, etc au système d’information de l’entreprise. Or, cet usage peut poser des risques dès lors que l’utilisateur télécharge des applications personnelles ou consulte des sites ludiques ou pornographiques susceptibles d’être piratés. L’entreprise peut-elle juridiquement encadrer cette activité ? 

Pour encadrer ces usages, l’employeur peut faire signer à ses salariés une lettre d’engagement ou adopter une charte de l’informatique et des communications électroniques qui liste les pratiques autorisées et celles qui sont interdites. Dans les deux cas, il s’agit de prévenir les risques juridiques, économiques et techniques de l’entreprise. Le document sera alors annexé soit au contrat de travail, s’il s’agit d’une lettre d’engagement, soit au règlement intérieur s’il s’agit d’une charte. Dans les deux cas de figure, l’employeur pourra adopter les sanctions prévues en cas de violation des dispositions.

Pourquoi les chartes sont-elles indispensables ? 

C’est l’occasion d’informer et de sensibiliser les employés sur les risques que peuvent générer une mauvaise utilisation ou une utilisation imprudente des nouveaux moyens de communication. Notamment en situation de mobilité. Ensuite, l’absence d’une charte fait encourir à l’entreprise plusieurs risques. En effet, en cas de fautes commises par l’employé, l’employeur ne pourra pas toujours le sanctionner dans le cadre de son contrat de travail. Ensuite, l’existence d’une charte couvre le risque lié au stockage des logs (traces informatiques) en vue de leur analyse et de la constitution de preuves (analyse forensique). Si l’entreprise les garde plus de 30 jours, elle encourt une amende en cas de contrôle de la Commission nationale informatique et libertés (Cnil). Sauf si le cas est couvert par la charte informatique et si la société a procédé aux formalités préalables auprès de cet organisme.

Comment établir ce document et que doit-il contenir ?

La rédaction de ce document réclame l’intervention du service juridique, des ressources humaines, du correspondant de la Cnil et du RSSI (Responsable sécurité des systèmes d’information). Sans oublier, bien sûr, la direction ou le service informatique qui sera chargé d’établir un inventaire détaillé des moyens informatiques et des communications électroniques fournis au personnel. Entre autres, le matériel, sa configuration logicielle, les moyens d’authentification, les dispositions qui seront prises pour effacer les données en cas de vol ou de perte d’un terminal ou d’un équipement, ainsi que les outils de contrôle et de surveillance qui seront utilisés. Mais aussi les modes de connexion, accès aux réseaux et bases de données concernées. Cette charte devra aussi lister les règles de bonne conduite à respecter, les limites d’utilisation ainsi que les interdictions – comme par exemple le fait d’aller consulter des sites ludiques ou pornographiques, les sanctions relevant du règlement intérieur…

Dans ce cadre, il est recommandé de faire une séparation entre les sphères professionnelle et privée des salariés. Par exemple, la charte pourra préciser que les utilisateurs disposent d’une adresse électronique à usage strictement professionnel. Pour les fichiers et informations de nature privée, la charte établira une labellisation (stockage dans un dossier marqué « privé ») en vue de leur protection.

Combien de temps faut-il compter pour déployer un tel projet ? 

La réalisation de ce type de charte peut prendre un an dans les grandes structures en raison de la consultation des institutions représentatives du personnel (IRP) mais une fois rédigée, elle peut être conservée 5 à 10 ans et complétée si besoin par des documents ad hoc, voire aboutir à une nouvelle version.

Quelles sont les contraintes à prendre en compte ? 

Le projet de charte est complexe avec d’une part, une très forte interaction dans divers domaines juridiques (social, pénal, droits et libertés fondamentales) et d’autre part, avec la mise en relation de plusieurs directions de l’organisme (sécurité des systèmes d’information, informatique, communication, juridique, ressources humaines, services usagers, etc). Par conséquent, la mise en œuvre du projet doit être guidée par les principes de transparence et de proportionnalité. Un certain nombre de précisions doivent être fournies (définition du contenu de la charte et de l’encadrement juridique des utilisations) ainsi que des règles et des sanctions en cas de violation.

Qui doit piloter ce projet et quelles sont les obligations qui y sont associées ? 

Ce document doit être piloté par un chef de projet (souvent le RSSI). Il doit être suffisamment précis, détailler les étapes, mentionner toutes les actions à mener, désigner les personnes responsables et ce jusqu’à la fin du projet. A la fin de la procédure, l’employeur a l’obligation de consulter les représentants du personnel et de communiquer les documents de la charte. Néanmoins, lorsque leur consultation est obligatoire – notamment pour les chartes informatiques qui touchent à l’organisation du service ou ont une incidence sur les conditions de travail salariés -, l’omission de la consultation ou encore une irrégularité substantielle durant cette procédure entachent d’illégalité l’acte final ainsi que les preuves collectées en cas de faute d’un salarié.

Propos recueillis par Eliane Kan

Commentez

Participez à la discussion


La période de vérification reCAPTCHA a expiré. Veuillez recharger la page.