8 piliers pour structurer une charte informatique

1. Objectifs de la Charte

• Apporter la sécurité juridique et technique adéquate au système d’information et aux données qui y sont contenues.

• Informer les utilisateurs de la collecte de leurs données à caractère personnel et de la mise en œuvre des outils informatiques de surveillance (cybersécurité).

2. Mécanisme de la Charte

Pour mettre en place une Charte pertinente, voici le mécanisme à maîtriser :

• La connaissance des risques
• L’apprentissage de la problématique
• La responsabilisation des acteurs
• La définition des moyens techniques
• La mise en place d’une politique de contrôle et d’audit

3. Equilibre vie privée et droit du travail

Autorisez-vous vos salariés à utiliser le matériel professionnel à leur domicile, à le prêter à leurs enfants ? Si oui, à quelles conditions ? L’usage d’Internet à des fins personnelles doit-il être limité ou non ? Si les outils professionnels peuvent être utilisés à des fins personnelles (arrêt Nikon du 2 octobre 2001), à vous de définir la frontière entre l’utilisation professionnelle et l’usage privé résiduel. Attention, toute règle qui viserait à interdire l’utilisation privée des outils entraînerait la nullité de la Charte.

4. Image de marque et réseaux sociaux

Les collaborateurs se doivent d’adopter un comportement loyal vis à vis de leur employeur lors de l’utilisation des réseaux sociaux professionnels (LinkedIn ou autre) ou non professionnels (Facebook, Pinterest, Twitter). La Charte informatique vient préciser les interdictions de communication sur et au nom de l’établissement, aussi bien dans la sphère privée, dans le respect du principe de la liberté d’expression, que professionnelle.

5. Mobilité et BYOD

Les nouveaux usages mobiles ont des conséquences sur la sécurité et de la confidentialité des données échangées, d’où la mise en place de règles pour les réguler. Autorisez-vous le Bring Your Own Device (BYOD), c’est-à-dire les salariés à utiliser leur propre matériel pour se connecter au bureau ? Si le BYOD n’est pas accepté, alors il est recommandé en tout état de cause de l’interdire dans la Charte informatique et de prévoir les sanctions en cas d’infraction à cette règle. Si le BYOD est accepté alors la Charte informatique devra être amendée. Si le BYOD est réservé à une certaine catégorie (par exemple l’encadrement) alors les règles devront être précisées dans un document spécifique.

6. Flux sécurisés

L’entreprise peut-elle déchiffrer les flux sécurisés (https) sur son réseau ? Dans quelle mesure le chiffrement/déchiffrement est-il encadré ?  Si l’entreprise ne souhaite pas que son salarié accède à des sites sécurisés contenant des informations à caractère personnel dans un cadre privé (banque en ligne, webmail…), alors cette interdiction doit être prévue dans la Charte.

7. Audit et contrôle

L’audit est surtout destiné à optimiser ces usages alors que le contrôle est destiné à identifier l’existence ou non d’un écart ou d’une faute de l’utilisateur. La Charte doit comporter une disposition relative au droit de contrôle mais n’a pas pour vocation à expliciter les modalités de ce contrôle.

8. A bannir

• Faire un recueil de textes ou de dispositions légales est à proscrire – une Charte « rappel de la loi » se retrouverait très vite dépassée par l’évolution législative et réglementaire.

• Compiler l’ensemble de technologies, logiciels, et modes d’emploi techniques – vu la vitesse à laquelle évoluent les technologies le déploiement de la Charte devrait être renouvelé à chaque nouvelle technologie, ce qui imposerait une modification systématique de la Charte.

Gardez à l’esprit qu’une Charte Informatique s’inscrit dans une démarche d’explication et de sensibilisation. Pour que vos collaborateurs adhèrent aux bonnes pratiques d’utilisation du Système d’Information, il faut donc que votre Charte soit claire et à la portée de tous. A bon entendeur…