1/ Définition et objet de la charte informatique en entreprise.
La charte informatique a pour objet d’encadrer l’utilisation, au sein de l’entreprise, des outils issus des technologies de l’information et de la communication (NTIC), mais aussi d’assurer la sécurité des infrastructures et du réseau informatique (logiciels, matériel, etc.).
Par ailleurs, la charte informatique a vocation à définir et régir les droits et obligations des salariés en lien avec l’usage des NTIC dans l’entreprise (règles à respecter, sanctions encourues, distinction entre usage professionnel et personnel, etc.).
L’entreprise peut, ainsi, fixer les règles applicables à la messagerie professionnelle, aux logiciels, à l’utilisation de l’intranet et d’internet et, plus largement, à l’usage du matériel informatique.
Bien entendu, l’essor du télétravail constitue un phénomène rendant d’autant plus importante l’élaboration d’une charte informatique.
2/ Nature juridique de la charte informatique.
Les chartes informatiques qui contiennent des prescriptions générales et permanentes en matière de disciplines ont la même nature que le règlement intérieur.
En effet, les notes de service ou tout autre document comportant des obligations générales et permanentes dans les matières mentionnées aux articles L1321-1 et L1321-2 (discipline) sont, lorsqu’il existe un règlement intérieur, considérés comme des adjonctions à celui-ci.
Le Code du travail prévoit que ces documents sont, en toute hypothèse, soumis aux dispositions applicables au règlement intérieur [1].
Il en résulte que, dans les entreprises de 50 salariés et plus, la charte informatique doit suivre la même procédure d’entrée en vigueur que le règlement intérieur.
3/ Procédure d’entrée en vigueur de la charte informatique.
Dans les entreprises de 50 salariés et plus, la charte informatique ne peut être introduite qu’après avoir été soumise à l’avis du comité social et économique (CSE), si l’entreprise en est dotée [2].
Le texte de la charte informatique et l’avis du CSE doivent être transmis à l’inspecteur du travail en deux exemplaires [3].
L’inspecteur du travail a pour mission de contrôler la légalité des clauses de la charte informatique.
Le texte de la charte informatique doit parallèlement être déposé au greffe du conseil des prud’hommes dans le ressort duquel est situé l’entreprise ou l’établissement [4].
Par ailleurs, l’employeur doit, par tout moyen (affichage, lettre remise en main propre contre décharge, intranet, email, etc.), porter la charte informatique à la connaissance des personnes ayant accès aux lieux de travail ou aux locaux où se fait l’embauche [5].
À défaut de l’accomplissement de ces formalités, les dispositions de la charte informatique sont inopposables aux salariés [6].
La charte informatique doit fixer la date de son entrée en vigueur et elle ne peut s’appliquer avant un délai minimum d’un mois à compter de l’accomplissement de la dernière des formalités de dépôt et de publicité visées ci-dessus [7].
Enfin, précisons que la charte informatique peut être modifiée, notamment par des notes de service ou tout autre document comportant des obligations générales et permanentes ayant le même objet.
Ces notes de service sont alors considérées comme des adjonctions à la charte informatique et sont soumises aux dispositions légales applicables au règlement intérieur [8].
La même procédure d’entrée en vigueur leur est applicable.
4/ Exigences liées à la CNIL et au RGPD.
La CNIL n’a pas vocation à se prononcer sur un projet de charte informatique.
D’ailleurs, une charte informatique n’a pas à être déclarée à la CNIL.
Comme elle le rappelle sur son site Internet, la CNIL peut, en revanche, donner son avis sur des aspects précis du projet de charte relatifs à la protection des données personnelles, si certains doutes existent.
Au regard du respect du RGPD [9], toutes les entreprises traitant des données personnelles, qu’elles appartiennent au secteur privé ou public, doivent instaurer une charte informatique afin de définir les règles d’utilisations des systèmes d’information.
La charte doit prévoir les risques encourus en cas de non-respect de ces règles et des obligations liées au RGPD.
Un registre des activités de traitement, prévu par l’article 30 du RGPD, doit être établi dès lors que l’employeur traite des données personnelles.
Ce registre est un document de recensement et d’analyse qui doit refléter la réalité des traitements de données personnelles de l’entreprise.
Il doit permettre d’identifier précisément :
- Les parties prenantes (représentant, sous-traitants, co-responsables, etc.) qui interviennent dans le traitement des données
- Les catégories de données traitées
- A quoi servent ces données, qui accède aux données et à qui elles sont communiquées
- Combien de temps elles sont conservées
- Comment elles sont sécurisées.
La CNIL propose un modèle de registre de base (format ODS) destiné à répondre aux besoins les plus courants en matière de traitements de données, en particulier des petites structures (TPE-PME, associations, petites collectivités, etc.).
5/ Obligations vis-à-vis des salariés.
Les dispositions de la charte informatique doivent respecter le principe énoncé à l’article L1121-1 du Code du travail selon lequel nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives des restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché.
Enfin, chaque salarié doit être individuellement informé des dispositions de la charte, conformément à l’article L1222-4 du Code du travail selon lequel :
« Aucune information concernant personnellement un salarié ne peut être collectée par un dispositif qui n’a pas été porté préalablement à sa connaissance ».
