Petites et moyennes entreprises – avez-vous une charte Informatique et Libertés ?
Disposez-vous d’une charte Informatique et Libertés ? Quelles décisions avez-vous prises pour assurer la sécurité des données que vous collectez ou que vous stockez ? La question est d’actualité alors que la vie des entreprises a été marquée en 2017 par plusieurs failles de sécurité et cyber-attaques (Wannacry [1], NotPetya) qui témoignent de la nécessité de former ses équipes et ses salariés à la sécurité des systèmes d’information.
Pourquoi une charte Informatique et Libertés ?
Cette question est cruciale à la veille de l’entrée en application du Règlement général sur la protection des données personnelles qui a fait de la sécurité des systèmes d’information et des données des priorités, le RGPD renforçant par ailleurs les niveaux de sanction applicables.
A ce titre, l’article 32 du RGPD prévoit notamment que le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, et suggère entre autres de recourir à la pseudonymisation et au chiffrement des données à caractère personnel, aux moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement; aux moyens permettant de rétablir la disponibilité des données à caractère personnel ou encore à une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.
Accountability et sécurité des données
Avec la consécration du principe d’accountability, responsables de traitement et sous-traitants devront aussi être en mesure de démontrer qu’ils ont mis en œuvre les mesures nécessaires destinées à assurer la sécurité des traitements. Au-delà des outils énumérés par le RGPD, les chartes Informatique et Libertés sont également un moyen efficace pour les entreprises de démontrer leur conformité tout en favorisant en interne la diffusion de la culture de la sécurité informatique.
Pourtant, de nombreuses entreprises n’ont pas encore ou peu cette culture de la sécurité de leurs données comme en atteste ce très récent passage diffusé sur le 19h45 de M6 à une heure de grande audience où apparaissaient, visibles en clair à l’écran, différents mots de passe affichés sur le poste du travail d’un salarié d’ENGIE relevé par un compte Twitter.
Charte informatique et libertes
Était ainsi pointée l’absence de prise de conscience de la protection des mots de passe par un mécanisme adéquat.
Le présent article sera donc l’occasion de rappeler la nécessité et l’intérêt pour les entreprises de disposer d’une charte Informatique et Libertés.
Cette charte devra être annexée au règlement intérieur de l’entreprise afin de la rendre opposable aux salariés et collaborateurs.
Qui met en place la charte Informatique et Libertés ?
C’est l’employeur dans le cadre de son pouvoir de direction et de contrôle qui peut (et le plus souvent qui doit) encadrer l’activité informatique et l’accès à Internet de ses salariés et collaborateurs, dans le respect du droit à la vie privée du salarié[2].
En effet, une telle charte est souvent indispensable et notamment pour encadrer les utilisations à des fins privées de certains sites et éviter de futurs contentieux. Peuvent être ainsi traitées par la charte les questions de la consultations de sites qui seraient expressément interdits par la charte informatique [3],l’installation de logiciels non autorisés[4]la divulgation non autorisée d’informations confidentielles [5]les mesures de sécurité qui doivent être mise en œuvre (chiffrement, sécurisation des mots de passe) etc… Avec en conséquence la nécessité d’énoncer clairement ces bonnes pratiques de sécurité au sein de la charte.
La mise en place de la charte a de multiples intérêts : elle constitue un outil pédagogique utile pour les salariés et collaborateurs, notamment lors de nouvelles embauches. Elle permet aussi de valoriser et de protéger les process mis en œuvre au sein des entreprises en matière de sécurité des données personnelles.
Comment rédiger sa charte informatique et libertés? Nos conseils
Introduction de la charte (Préambule) :
Indiquez en introduction les objectifs de la Charte.
Exposez l’objectif et la portée de la Charte.
Expliciter les attentes de votre entreprise pour faire de la charte un outil de sensibilisation en interne sur les questions de sécurité.
Indiquez des éléments de protection des données personnelles et mentionnez la désignation d’un DPO ou les personnes « contact » utiles
Opposabilité de la charte :
Veillez à énumérer de façon exhaustive tous les personnels et collaborateurs concernés par la charte.
Explicitez les modalités d’information sur la charte (lieux d’affichage, documentation, modalités de prise de connaissance par les salariés et les collaborateurs et de signature etc…)
Définitions :
Les termes utilisés doivent être clairs et précis.
Une attention particulière sera portée à la rédaction de la charte pour en assurer la neutralité technologique à terme afin d’englober de futures innovations technologiques (par exemple la Blockchain ou le recours à l’AI).
Quelles règles d’utilisation du système d’information – usages :
Recensez d’abord l’ensemble des besoins auxquels le système d’information doit répondre.
Répertoriez tous les outils numériques mis à disposition des salariés et collaborateurs.
Définissez une politique de confidentialité des accès et des mots de passe et développez des bonnes pratiques.
Définissez et explicitez les pratiques autorisées (gestion des habilitations, usages et renouvellement des mots de passe, procédures à respecter.
Définissez quelles sont les mesures de sécurité prises afin de sécuriser l’accès aux différents postes dans votre entreprise.
Quelles obligations pour les utilisateurs ?
Rappelez aux utilisateurs qu’ils sont responsables des ressources informatiques qu’ils utilisent.
Rappelez aussi des règles de bon sens (ne pas insérer des clefs UBS étrangères à l’entreprise, pas de communication excessive des données et notamment à des personnes non autorisées...).
Posez des règles claires quant à l’utilisation d’Internet et des outils informatiques de votre entreprise à des fins personnelles.
Définissez des conditions d’utilisation des espaces de stockage ou pour l’installation de logiciels.
Rappelez les conditions d’utilisation de la messagerie électronique de l’entreprise et soulignez la présomption de professionnalité des messages transmis.
Outils de contrôle du poste informatique / surveillance du salarié :
Indiquez quels outils de filtrage sont mis en place.
Explicitez les systèmes de contrôle du salarié et les différentes informations pouvant être enregistrées.
Notez que ces outils de contrôles et de surveillance des salariés devront être proportionnés à l’objectif poursuivi.
Travail à distance et mobilité des salariés :
Prenez en compte la virtualisation ou non des postes de travail avec leurs conséquences (règles d’attribution et d’usages des matériels, tablettes, téléphones et ordinateurs portables).
Posez des règles claires dans les cas de mobilité des salariés et exposez les différentes situations envisageables.
Sanctions :
La charte doit indiquer quelles sont les sanctions prévues.
Elle doit également préciser les conditions d’engagement de la responsabilité civile et pénale des salariés et des collaborateurs ou de procédures disciplinaires.
Entrée en vigueur de la charte :
Précisez la date d’entrée en vigueur de la charte et d’entrée en application.
Mettre les annexes en lien ou notes de bas de page
Annexe - Dispositions légales applicables:
- Loi informatique et libertés
- Code pénal : article 226-16 à 226-24 et R.625-10 à R.625-13
- Loi Godfrain : article 323-1 et 323-3 code pénal
Références:
[2]« Le salarié a droit, même au temps et au lieu du travail, au respect de l'intimité de sa vie privée ». Cour de cassation,Chambre sociale, 2 octobre 2001, n° 99-42.942. Voir arrêts récent sur la labellisation des fichiers indiqués comme privés et le durcissement de la position de la Cour de cassation après le célèbre arrêt Nikon. CEDH, 22 janvier 2018 ; n° 588/13 mettre l’intégralité du Disc dur comme privé « la dénomination donnée au disque dur lui-même ne peut conférer un caractère personnel à l’intégralité des données qu’il contient ; que la cour d’appel, qui a retenu que la dénomination « D:/données personnelles » du disque dur de l’ordinateur du salarié ne pouvait lui permettre d’utiliser celui-ci à des fins purement privées et en interdire ainsi l’accès à l’employeur, en a légitimement déduit que les fichiers litigieux, qui n’étaient pas identifiés comme étant « privés » selon les préconisations de la charte informatique, pouvaient être régulièrement ouverts par l’employeur ; »
[3]CA Grenoble, ch. soc., 16 janv. 2008, n° 07/01119 : la consultation par un salarié de sites pornographiques, expressément interdit par la Charte informatique, le licenciement pour faute grave du salarié est justifié. Voir aussi Cass. soc., 15 déc. 2010, nº 09-42.691.
[4]CA Paris, pôle 6, ch. 5, 19 janv. 2012, no 10/04071, M. Rudy c/ Sté Zétès, en l’espèce un technicien de maintenance avait installé sur son poste de travail des logiciels qui n’étaient pas autorisés par la Charte informatique.
[5]Cass. soc., 5 juill. 2011, n° 10-14.685 la salariée a été licenciée pour faute grave : la salariée avait permis à un autre salarié qui n’y était pas habilité d’utiliser son code d’accès pour télécharger des informations confidentielles.
Sources complémentaires :
https://www.cnil.fr/sites/default/files/typo/document/20100730-MOD-CHARTE_INFORMATIQUE_CIL-VD.pdf