Avec la montée des risques cyber « endogènes », l’établissement d’une charte des usages numériques est plus que jamais indispensable.

Gouvernance

Les bonnes pratiques pour rédiger une charte informatique

Par Xavier Biseul, publié le 07 décembre 2023

Avec la montée des risques cyber « endogènes », l’établissement d’une charte des usages numériques est plus que jamais indispensable. Comment en faire un document opérationnel, évolutif et opposable juridiquement ? Les conseils d’un juriste.

Établir une charte informatique n’a rien d’une nouveauté. Cela fait plus de vingt ans que les organisations tentent de fixer les règles d’utilisation de leur système d’information. Mais la montée en puissance des risques cyber « endogènes » – fuite de données d’origine accidentelle ou par acte de malveillance – rend son principe plus indispensable encore.

Le document doit tout d’abord être formellement opposable. Deux possibilités s’offrent à l’employeur. Soit la charte est annexée au contrat de travail, soit elle est annexée au règlement intérieur. Avocat à la Cour, fondateur du cabinet Level Up Legal et senior advisor au sein du cercle de réflexion CyberCercle, François Coupez déconseille la première option. « Un collaborateur déjà en poste au moment de la rédaction de la charte peut estimer que cette annexion constitue un changement substantiel de son poste et nécessite un accord préalable. »

Une organisation prend alors le risque de se retrouver avec des chartes à plusieurs vitesses, plus restrictives pour les recrues que pour les anciens employés. « Ce qui contrevient au principe d’uniformité, les mêmes règles s’appliquant à tous. »
L’annexion au règlement intérieur est donc la voie à privilégier. Elle nécessite toutefois une information consultation et l’avis du comité social et économique (CSE), ainsi que l’envoi de la charte au greffe des Prud’hommes et à l’inspection du travail.

François Coupez

Avocat à la Cour,
fondateur du cabinet Level Up Legal
et senior advisor au sein du
cercle de réflexion CyberCercle.

Rédiger une charte s’apparente à un travail d’orfèvrerie, tout se joue au mot près.

La charte doit aussi avoir une visée opérationnelle et permettre par exemple à l’équipe du RSSI d’intervenir sur un poste de travail pour stopper la propagation d’un malware, même s’il contient des photos de vacances. Pour cela, elle doit expliciter les circonstances objectives lors desquelles un employeur peut accéder aux fichiers et courriels d’un salarié. Depuis 2001, une riche jurisprudence s’est constituée sur le sujet. Au départ particulièrement protectrice pour le salarié, elle a fini par autoriser, dans certains cas, l’employeur à lire les messages privés de son collaborateur. Une clé USB privée connectée à un équipement professionnel est, par ailleurs, présumée contenir des contenus professionnels.

La charte doit également décrire les règles de sécurité qui s’imposent au salarié. Plutôt que de rédiger une charte d’une trentaine de pages minimum, une solution consiste à le renvoyer à la politique de sécurité des systèmes d’information (PSSI) et à des documents internes rappelant la doctrine de l’entreprise en matière, par exemple, de définition d’un mot de passe robuste.

À LIRE AUSSI :


Vivante, une charte doit être toilettée tous les trois ou quatre ans. Pour qu’elle ne soit pas trop datée technologiquement entre deux mises à jour, François Coupez conseille d’utiliser des termes génériques. On parlera ainsi de moyen d’authentification plutôt que d’accès par mot de passe, badge ou procédé biométrique. La charte énoncera de grands principes et leurs déclinaisons techniques sous forme de listes non exhaustives.

« Certaines organisations pensent qu’il est possible de dupliquer une charte type, poursuit François Coupez. S’il existe des éléments de rédaction communs – sur le devenir des données d’un salarié décédé, par exemple – il y a des spécificités propres à chaque structure. Rédiger une charte s’apparente à un travail d’orfèvrerie, tout se joue au mot près. »

De même, cela serait une erreur de vouloir reprendre la charte telle quelle pour qu’elle s’applique aux prestataires. Le document doit être expurgé de ce qui relève de l’usage privé pour éviter tout risque de délit de marchandage, de prêt de main d’œuvre illicite ou de requalification en contrat de travail.

À LIRE AUSSI :

Dans l'actualité