Charte informatique et RGPD : pourquoi en avoir une ?

Dans le cadre de votre mise en conformité RGPD, votre entreprise doit mettre en place toutes les mesures nécessaires pour garantir la sécurité des données personnelles. La charte informatique RGPD pour sensibiliser vos collaborateurs est notamment un levier pour y arriver, et vous allez comprendre pourquoi dans cet article.

Comment la mettre en place ? Et surtout, comment la rédiger ? Il y a t-il des exemples de charte informatique de la CNIL dont il faut s’inspirer ? 

Mini-sommaire : 

  1. Principe de sécurité et charte informatique : pourquoi ?
  2. Qu’est-ce que la charte informatique  RGPD ? 
  3. Charte informatique RGPD : contenu
  4. Comment rendre obligatoire une charte informatique RGPD ? 
  5. Conclusion 

Principe de sécurité et charte informatique : pourquoi ?

Le responsable du traitement et le sous-traitant ont le devoir de mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté aux risques : les accès non autorisés, l’altération et le vol en font par exemple partie.

Bien sûr, les attaques d’envergure qui s’attaquent directement aux systèmes informatiques existent bel et bien. Néanmoins, les risques sont plus nombreux qu’on ne le pense : ainsi, les employés sont en première ligne. En cliquant sur un lien externe malveillant, en laissant à la vue de tous ses codes d’accès, en travaillant avec une WIFI publique.

Dans ce contexte, il convient d’impliquer votre équipe dans le process de sécurité. Ils sont en première ligne et dans le cadre de leurs missions, ils doivent s’engager à protéger les données personnelles qu’ils manipulent.

Qu’est-ce qu’une charte informatique RGPD ? 

La charte informatique RGPD est un document qui liste les droits et obligations du salarié, mais aussi des bonnes pratiques, lorsqu’il est amené à utiliser le matériel informatique que vous lui mettez à disposition. Cela concerne donc tout aussi bien un téléphone, un ordinateur, un logiciel, une messagerie ou encore un réseau informatique. 

Sa finalité est double. D’abord, elle permet de prévenir les utilisations abusives des outils informatiques avec lesquels vos salariés sont amenés à travailler au quotidien. Ensuite, elle permet d’informer les salariés de toutes les procédures que vous mettez en place pour récolter, traiter et archiver les données personnelles

Charte RGPD informatique : contenu

Pour la CNIL, la charte informatique est un outil à mettre en place en entreprise. 

Elle a donc tout prévu en mettant en accès gratuit un guide de la sécurité des données personnelles. Vous pouvez également vous aider de la charte d’utilisation des moyens informatiques et des outils numériques de l’anssi. 

En théorie, vous êtes libre dans le contenu de votre charte informatique. La CNIL ne peut pas se prononcer sur votre projet de charte d’informatique mais vous donne les éléments à ne surtout pas négliger :

  • Les règles de protection des données et les sanctions encourues en cas de non respect de la charte ;
  • Le champ d’application de la charte comme la politique de mots de passe que l’utilisateur doit respecter, les règles de sécurité auxquelles les utilisateurs doivent se conformer (ne jamais confier son identifiant/mot de passe à un tiers; verrouiller son ordinateur dès que l’on quitte son poste de travail, respecter, etc) ;
  • Les modalités d’utilisation des moyens informatiques et de télécommunications mis à disposition (poste de travail, équipements dans le cadre du télétravail, espaces de stockage, etc.) ;
  • Les conditions d’administration du système d’information ;
  • Les responsabilités et sanctions encourues en cas de non-respect de la charte.

Comment rendre obligatoire une charte informatique RGPD ? 

Une charte informatique RGPD peut vite devenir un document sans importance si vous ne lui donnez pas une force contraignante.

Opposabilité

Pour qu’elle devienne opposable, la charte doit être acceptée par les utilisateurs, soit par une signature directe sur le document, soit comme un avenant au contrat de travail. 

Pour prévenir toute objection ou demande de renégociation de la part des utilisateurs, la charte peut être intégrée au règlement intérieur de l'organisation.

Dans ce contexte, il est nécessaire de consulter les représentants du personnel (comme le comité d'entreprise) s'ils existent, d'informer l'inspection du travail, et de communiquer clairement la charte aux utilisateurs. 

Lorsque des tiers (comme des sous-traitants ou partenaires) sont impliqués, l'applicabilité de la charte peut être assurée en l'incluant dans les contrats de service, nécessitant alors que ces prestataires informent leurs employés de la charte.

Il est important de noter que des sanctions basées sur une charte non communiquée aux utilisateurs pourraient être invalidées en cas de litige.

Mesures de surveillance

Vous avez la possibilité d’instaurer des mesures de surveillance à condition qu'une notification préalable ait été donnée aux utilisateurs (par le biais de la charte) et qu'elles respectent la législation applicable. 

La charte doit préciser les mesures adoptées et les modalités de leur application (telles que le stockage des logs de connexion, le cryptage des données, le décryptage des flux HTTPS, la gestion rigoureuse des accès, etc.), en veillant à ce qu'elles soient adaptées aux buts recherchés. 

Sanctions

La charte informatique, ayant une valeur juridique, sert de base pour imposer des sanctions contre un utilisateur qui aurait manqué à ses obligations. Il est crucial d'établir un barème de sanctions disciplinaires, avec des mesures ajustées selon la sévérité de la faute commise, pouvant aller jusqu'au licenciement en cas de faute grave.

Outre les sanctions disciplinaires, des peines civiles ou pénales peuvent être infligées par les tribunaux en cas de violation de la loi.

Il est pertinent de rappeler aux utilisateurs que certaines actions peuvent entraîner de graves conséquences juridiques, notamment en cas de manquement à leurs obligations, de téléchargement illégal ou de consultation de contenus illicites.

Conclusion 

Une vraie culture informatique RGPD dans votre entreprise est une étape cruciale de votre mise en conformité RGPD. Encore plus aujourd’hui avec l’utilisation du digital, impliquer ses employés dans la sécurisation des processus et des outils de travail n’est plus une option. La charte informatique permet de sensibiliser toutes vos équipes à l’importance du RGPD, et de les contraindre juridiquement.

 Encore faut-il qu’elle soit correctement rédigée et adaptée à vos besoins. Faites le point avec nos avocats en RGPD 

Une question ? Un besoin ponctuel ou récurrent ?

Nous contacter pour un accompagnement

Téléchargez nos templates

Retrouvez tous les contrats et documents juridiques pour créer et développer votre entreprise en 2023.

Templates gratuits

À lire également

Corporate

Négocier une term-sheet (LOI) en levée de fonds : le guide complet (2024)

La Term-sheet est un moment clé de la levée de fonds : c’est à ce stade que toutes les négociations avec l’investisseur se cristallisent et c'est d'elle que découle toute l'opération.
Marie-Renée Mbock
February 6, 2024
5 min read
Business

Plateformes #3 : le modèle économique de la sous-traitance

Dans cet article, nous allons aborder la question du modèle de sous-traitance, modèle dont le régime et les implications sont souvent méconnus.
Alexandra Cohen Farbiarz
January 16, 2024
5 min read
Data

Les clés pour rédiger un contrat de sous-traitance conforme au RGPD : exemples et conseils

Découvrez notre exemple de contrat de sous-traitance conforme au RGPD et apprenez à rédiger le vôtre avec des conseils pratiques.
March 19, 2024
5 min read