Aller au contenu principal

Comment rédiger sa charte informatique ?

Article - Dernière mise à jour : 20/08/2024

Introduction

Utilisation du document

Ce document est un guide d’aide à la rédaction d’une charte d’utilisation sécurisée des moyens informatiques mis à disposition par une entité (nommée l’entreprise) ainsi que tout ce qui s’y rapportent.

[Les annotations en gras et entre crochets] définissent de façon générique les mesures à mettre en place.

Les textes sous ces annotations sont des exemples de ce qui pourraient être mis en place et ne sont aucunement des obligations. Tous les chapitres ne sont pas applicables et leur sélection doit être en conformité avec les activités de l’entreprise et ses objectifs en matière de sécurité de l’information.

La charte informatique est un instrument juridique qui définit les conditions générales d’utilisation des systèmes d’information et de communication, de l’accès à Internet, aux divers réseaux et systèmes d’information de l’entreprise ou encore à ses services multimédias.

L’élaboration d’une charte d’utilisation des moyens informatiques et sa mise à disposition auprès des utilisateurs figurent parmi les bonnes pratiques à mettre en œuvre dans toute entité dont les informations, données et activités s’appuient sur un système d’information. De façon pragmatique, elle permet d’informer l’utilisateur (bien souvent le salarié) sur :

  • Les usages permis des moyens informatiques mis à sa disposition ;
  • Les règles de sécurité en vigueur ;
  • Les mesures de contrôle prises par l’employeur ;
  • Les sanctions encourues par l’utilisateur

Prérequis

Avant sa rédaction, Il convient de s’assurer de quelques éléments indispensables.

  • Inventaire des actifs Avant de rédiger une charte informatique, il est absolument nécessaire de dresser la liste de tous les actifs concernés, à savoir, par exemple (liste non exhaustive) :

    • Matériel (type, version, local, distant ...)
    • Systèmes d’exploitation, middleware, applications (type, version ...)
    • Collaborateurs et fournisseurs

    Une revue de cet inventaire devra être effectuée de façon régulière.

  • Matrice des droits Une matrice, réalisée à partir des actifs inventoriés référencés, permet ensuite de répondre à la question : qui a le droit d’accéder à quel matériel, à quel logiciel, et donc aux différents types de données de l’entreprise. Elle peut se présenter sous forme de tableau établissant le niveau d’accès d'un utilisateur sur une ressource. Une revue de cette matrice devra être effectuée de façon régulière.

Champs d'application

La charte doit rappeler ce sur quoi elle porte. Notamment, elle doit exprimer de manière explicite qu’elle a pour objet de préciser les droits et devoirs de l’utilisateur.

Personnes concernées

Sauf mention contraire, la présente charte s'applique à tout utilisateur du SI de [Nom de la société], quel que soit leur statut (les salariés, administrateurs, intérimaires, stagiaires, employés de société prestataire), pour l’exercice de ses activités professionnelles.

Du point de vue informatique, on peut distinguer quatre catégories d'acteurs dans la société :

  • Les utilisateurs,
  • Les administrateurs,
  • Les utilisateurs à privilèges,
  • Les responsables : les responsables de site et les chefs de service.

Les salariés doivent veiller à faire accepter les règles posées dans la présente charte à toute personne à laquelle ils permettraient d’accéder au système d’information de l’entreprise.

Ressources concernées

Les ressources informatiques [se référer à l’inventaire des actifs], qui permettent d'accéder aux informations propres à l’entreprise, à ses clients ou à ses fournisseurs, tant en France qu'à l'étranger.

Le réseau de la société est constitué [décrire succinctement votre architecture réseau]. L’ensemble de ces ressources forme le système d’information et de communication.

[Si l’utilisation de matériel personnel au sein de l’entreprise est autorisée], pour des raisons de sécurité du réseau, est également considéré comme faisant partie du système d’information et de communication le matériel personnel des salariés connectés au réseau de l’entreprise, ou contenant des informations à caractère professionnel concernant l’entreprise.

Communication et revue du document

La charte est diffusée à l’ensemble des utilisateurs [Décrire le moyen de diffusion]. Elle est systématiquement remise à tout nouvel arrivant, quel que soit son statut au sein de l’entreprise. Les responsables de service ont le devoir d’informer tous les utilisateurs et de diffuser la présente charte.

Ce document doit être révisé régulièrement et doit faire l’objet d’une évolution de version à chaque évolution majeure. Une communication doit être effectuée à l’issue de ces évolutions.

Condition d'accès au système d'information et de communication

Le droit d’accès aux SI est conditionné par le respect de la présente Charte. Ce droit d’accès est normalement limité aux activités professionnelles [à définir dans les missions des utilisateurs]. Toute utilisation contraire aux intérêts de l’entreprise et/ou des sociétés filiales ou à des fins exclusivement personnelles est en contradiction avec le principe d’utilisation à des fins professionnelles.

[Un assouplissement des règles est possible]. Cependant, chacun ayant, y compris sur son lieu de travail, droit au respect et à l’intimité de sa vie privée, il est toléré un usage à des fins personnelles strictement limité, tant en volume qu’en temps, tel que défini dans la présente Charte.

Règles d'utilisation du système d'information

  • Respect des principes [description générale des droits et des devoirs des utilisateurs de la société par rapport à l’usage des ressources informatiques mises à sa disposition]

    Chaque utilisateur accède aux outils informatiques nécessaires à l’exercice de son activité professionnelle dans les conditions définies par l’entreprise. Tout utilisateur est responsable de l’usage des ressources informatiques auxquelles il a accès, lequel usage sera réputé a priori de bonne foi. Il appartient donc à chacun d’adopter un comportement professionnel et responsable lors de l’utilisation du SI mis à disposition. L’utilisateur doit s’imposer le respect des lois et, notamment, celles relatives aux publications à caractère injurieux, raciste, pornographique, diffamatoire, et au harcèlement sexuel/moral.

    1.Confidentialité [description des différents devoirs de l’utilisateur par rapport à la confidentialité des informations de l’entreprise dont il a la connaissance]

    L’utilisateur doit assurer la confidentialité des données qu’il détient. Un comportement exemplaire est exigé dans toute communication orale ou écrite, téléphonique ou électronique, que ce soit lors d’échanges professionnels ou au cours de discussions relevant de la sphère privée. Il est interdit de prendre connaissance des informations détenues par d’autres utilisateurs, même si ceux-ci ne les ont pas explicitement protégées. Vis-à-vis de l’extérieur et des Tiers (personne ou structure étrangère, client, partenaire, fournisseur, administration ou autorités de justice, etc.), chaque utilisateur a un devoir de stricte confidentialité dans la connaissance qu’il a du SI et des informations qu’il contient, de son administration et des outils déployés.

    2.Transparence [Ddescription du devoir de transparence de l’utilisateur vis-à-vis des incidents pouvant altérer le bon fonctionnement de tout ou partie d’un service du SI]

    Les impératifs de sécurité du SI imposent à l’entreprise de mettre en œuvre une politique de surveillance, ainsi tout utilisateur a l’obligation de communiquer tout incident dont il a connaissance ou qu’il aurait lui-même occasionné. Par exemple, toute perte ou destruction de données, toute utilisation malveillante, toute dégradation même accidentelle susceptible de porter atteinte à l’intégrité et à la pérennité du SI, de l’entreprise, du matériel confié ou des données devra être signalée à l'entreprise.

    3.Utilisation des données [description des usages des différentes ressources informatiques de l’entreprise mises à disposition des utilisateurs (postes de travail, systèmes d’impression, smartphone…) on pourra définir dans cette section l’usage des matériels personnels au sein de l’entreprise (suivant les mesures de sécurité qui peuvent le permettre)]

    Nul ne peut connecter un équipement qui n'est pas propriété de l'entreprise sur le réseau de l'entreprise sans l'accord des administrateurs réseau. La présente charte s'applique alors à cet équipement autorisé, et son propriétaire en devient utilisateur au titre de la présente charte. Le matériel mis à la disposition de chaque utilisateur (ordinateur portable, ordinateur de bureau, écran, imprimante, fax, scanner, appareil photo numérique…) doit être entretenu. Il doit être en bon état lors de sa restitution.

Utilisation des moyens informatiques à disposition

Configuration des postes de travail

[Description des restrictions appliquées à la configuration et au paramétrage des postes de travail - installation ou désinstallation de matériel ou de logiciel pouvant entrainer un dysfonctionnement du poste ou pouvant nuire à la sécurité du SI]

Il est interdit à l’utilisateur, exception faite des administrateurs et utilisateurs à privilèges :

  • D’ajouter ou de supprimer soi-même des matériels accessoires, de télécharger / installer / désinstaller ou de déplacer soit même un logiciel ou une base de données,
  • De modifier ces équipements et leur fonctionnement, ainsi que leur paramétrage,
  • De nuire au fonctionnement des outils informatiques et de communications,
  • De manipuler de façon anormale le matériel, soit par l’introduction de logiciels non autorisés et en particulier des logiciels parasites comme des virus, des chevaux de Troie ou des bombes logiques,
  • De désactiver les dispositifs mis en place pour lutter contre les virus et attaques par programme informatique sur les postes de travail ou serveurs de traitement.

Usage quotidien du poste de travail et de son environnement

[Description des bonnes pratiques relatives à l’usage du poste de travail comme :

  • Verrouillage de session
  • Protection antivol
  • Respect des bonnes pratiques d’exploitation (écran vide et bureau propre)
  • …]

L’utilisateur doit :

  • Toujours éteindre ou verrouiller son poste de travail en cas d’absence, même pour un court instant. Le verrouillage est suffisant à condition de quitter toutes les applications lors d’une absence prolongée.
  • Veiller à la protection et à l’intégrité des différents moyens d’authentification. L’utilisateur doit signaler toute perte ou vol de ces moyens d’authentification
  • Porter à la connaissance des administrateurs toute difficulté tenant à l’utilisation du poste de travail, afin de permettre la correction et l’analyse rapide des incidents éventuels.
  • Attaché son poste avec le câble antivol prévu à cet effet

Chaque utilisateur est incité à pratiquer la politique de l’écran vide et du bureau propre et procéder au classement de ses fichiers ou dossiers à caractère strictement personnel dans un dossier « perso », « privé » ou « personnel ». Celui-ci sera considéré comme ne pouvant pas être ouvert par l’entreprise, sauf circonstances ou évènements exceptionnels. L’utilisateur ne doit pas déposer des documents personnels sur un serveur sans y être autorisé par son responsable.

Gestion et maintenance des postes de travail

[L’entreprise doit définir les modalités sur le maintien en condition opérationnelle des postes de travail des collaborateurs :

  • Maintenance matérielle et logicielle
  • Communication, description des missions relatives aux interventions de maintenance sur les postes des collaborateurs
  • …]

A des fins de maintenance informatique, le responsable des systèmes d’information peut accéder à distance à l'ensemble des postes de travail. Cette intervention s'effectue avec l’information préalable et l'autorisation expresse de l'utilisateur. Il peut vérifier que les logiciels antivirus et coupe-feu ne sont pas désactivés. Dans le cadre de mises à jour et évolutions du système d’information, et lorsqu’aucun utilisateur n’est connecté sur son poste de travail, Il peut être amené à intervenir sur l’environnement technique des postes de travail. Il agit en respect des règles de confidentialité applicables aux informations. Il s’engage à communiquer rapidement des informations concernant l’apparition de nouveaux virus et est seule habilité à le faire. Il a aussi pour mission d’informer et de sensibiliser les utilisateurs aux problèmes de sécurité informatiques inhérents au système, de leur faire connaître les règles de sécurité à respecter, aidé par les responsables de service.

Utilisation de la téléphonie mobile

[L’entreprise doit mettre en œuvre un certain nombre de dispositions et d’outils en matière de sécurité des téléphones mobiles à usage professionnel. L’utilisateur doit s’engager à respecter ces dispositions et utiliser les outils à disposition]

L’entreprise met à disposition des utilisateurs, pour l’exercice de leur activité professionnelle, des téléphones fixes et mobiles. L’utilisation du téléphone à titre privé est admise à condition qu’elle demeure raisonnable. L’utilisation sécurisée des téléphones mobiles implique le respect des bonnes pratiques suivantes :

  • Mettre en place des codes d'accès sur l'appareil (code PIN et code de déverrouillage)
  • Chiffrer les données de l'appareil
  • Appliquer les mises à jour de sécurité

L’entreprise s’interdit de mettre en œuvre un suivi individuel de l’utilisation des services de téléphonie mobile. Seules des statistiques globales sont réalisées sur l’ensemble des appels entrants et sortants.

Utilisation des systèmes d'impression

[L’utilisateur doit respecter les consignes en matière d’utilisation des systèmes d’impression mis à sa disposition par l’entreprise]

L’entreprise met à la disposition de l’utilisateur des imprimantes en réseau partagées. L’usage d’une imprimante est destiné à des fins professionnelles, l’usage personnel est toléré à condition de rester modéré. Ainsi, l’utilisateur doit éviter d’utiliser les imprimantes pour des besoins personnels, notamment l’impression en couleur. L’utilisateur doit récupérer les éditions papiers afin de ne pas laisser sur une imprimante des documents confidentiels ou contenant des données à caractère personnel.

Travail à distance

Déplacement à l'extérieur de l'entreprise

[Description des moyens et des bonnes pratiques de sécurité à adopter lors des déplacements à l’extérieur de l’entreprise comme :

  • Utilisation d’un filtre de confidentialité
  • Respect de la charte informatique interne (ce document)
  • Responsabilité des utilisateurs et sanctions prévues en cas de manquement
  • …]

Quel que soit le moyen de transport utilisé (voiture, 2 roues, train, avion, bateau…) chaque utilisateur doit veiller strictement à ne pas travailler au vu et au sus des tiers (utiliser le filtre de confidentialité mis à sa disposition), ni laisser son matériel informatique à la vue de tous sans une stricte surveillance. En cas de vol du fait de la négligence de l’utilisateur, ce dernier pourra être sanctionné au titre d’une faute grave. Toute perte ou tout vol d’un matériel informatique de l’entreprise devra être immédiatement signalé aux administrateurs.

Accès à distance aux ressources du système d'information

[Engagement de l’utilisateur vis-à-vis des moyens de connexion à distance mis à disposition par l’entreprise]

Lorsqu'un accès à distance est accordé à un utilisateur, celui-ci s'engage à utiliser les moyens techniques d'authentification qui lui seront remis et aucun autre. En termes de sécurité et de confidentialité, l'utilisateur est soumis aux mêmes obligations que celles visées pour la gestion des paramètres de connexion et devra suivre toutes les prescriptions complémentaires qui lui seront signifiées :

  • Faire des sauvegardes régulières
  • Installer uniquement des applications issus de sites ou de magasins officiels
  • Eviter la connexion à des réseaux Wifi publics ou non identifiés

L'utilisateur devra aviser sans délai le service informatique et la Direction de la perte ou du vol des moyens d’authentification à distance.

Traitement des informations

Marquage et confidentialité

[L’entreprise doit définir une échelle de classification des données et des informations et appliquer un modèle de confidentialité s’y rapportant]

L’entreprise a défini un niveau de sensibilité des informations comme suit :

  • Niveau 1 : Données très sensibles de l’entreprise ou de clients
  • Niveau 2 : Données internes sensibles
  • Niveau 3 : Données internes qui ne sont pas destinées à être divulguées au public
  • Niveau 4 : Données pouvant être divulguées au public

L’utilisateur se doit d’assurer la protection des informations et notamment celles considérées comme sensibles de Niveau 1 et Niveau 2 avec les moyens mis à sa disposition.

Sécurité des transferts de l'information

[Le collaborateur se doit de respecter les règles de sécurité définies par l'entreprise en ce qui concerne le transfert des informations aussi bien au sein de l'entreprise que vers des entités externes.]

  • Le collaborateur se doit d'utiliser le support physique chiffré mis à sa disposition pour stocker et transmettre des données à un tiers (Périphériques USB).
  • Le collaborateur se doit d'utiliser le ou les espaces sécurisés mis à sa disposition pour transférer des informations en interne ou vers un tiers (espace de transfert).
  • Tout virus ou programme malveillant qui aurait été introduit, même involontairement, sur le SI du fait de l'utilisation d'un support amovible ou d'un espace de transfert non sécurisé engagerait l'éventuelle responsabilité du collaborateur. De même, il est vivement recommandé de s’abstenir de tout branchement de supports amovibles fournis par l’entreprise sur des postes de travail tiers. Le transfert d’information par mail est abordé dans le chapitre dédié à l’utilisation de la messagerie.

Sauvegarde des données

[Description des moyens mis à disposition et des bonnes pratiques à suivre en matière de sauvegarde des données professionnelles de l'utilisateur]

Il appartient à l'utilisateur de sauvegarder ses données professionnelles en utilisant les moyens de stockage fournis par l'entreprise. Chaque utilisateur s'engage à respecter la limite des outils mis à disposition. L'entreprise ne sauvegardera pas les données pouvant être considérées comme des données personnelles.

Accès aux données

[Engagement de l'utilisateur sur les droits et les moyens d'accès mis à disposition par l'entreprise]

Il est en particulier strictement interdit à l'utilisateur :

  • de masquer ou modifier sa propre identité ;
  • d'utiliser un mot de passe appartenant à un autre utilisateur, même si ce mot de passe a été mémorisé dans un logiciel utilisé par le propriétaire du mot de passe ;
  • de modifier ou supprimer des informations ne lui appartenant pas sans autorisation préalable du propriétaire de ces informations et/ou de la DSI ;
  • de prendre connaissance d'informations transitant sur le réseau ou détenues par d'autres utilisateurs, quand bien même ceux-ci ne les auraient pas explicitement protégées.

Toute accès ou connexion par inadvertance aux matériels informatiques non autorisés devra être signalé sans délai à la DSI. La Direction pourra prendre connaissance des données stockées sur le poste de travail d'un utilisateur ou sur sa session. Cet accès devra cependant être justifié par un cas de force majeure et en l'absence durable de l'utilisateur ou une procédure judiciaire diligentée par les autorités compétentes.

Informations documentées

[Le collaborateur se doit de respecter les règles de sécurité définies par l'entreprise en ce qui concerne les informations documentées notamment sur l'impression, la transmission et la destruction de ces informations]

L'entreprise met à la disposition de l'utilisateur des imprimantes en réseau partagé. L'usage d'une imprimante est destiné à des fins professionnelles ; l'usage personnel est toléré à condition de rester très modéré. Ainsi, l'utilisateur doit éviter d'utiliser les imprimantes pour des besoins personnels, notamment l'impression en couleur. Si la confidentialité est nécessaire lors de l'impression, il est recommandé d'utiliser la fonction "impression sécurisée".

L'utilisateur doit récupérer les éditions papier afin de ne pas laisser sur une imprimante des documents confidentiels ou contenant des données à caractère personnel. La transmission d'informations documentées à un tiers ne peut se faire qu'avec l'accord explicite de la Direction ou du supérieur hiérarchique. Des broyeurs de documents sont à disposition et doivent être utilisés pour la destruction des informations documentées de Niveau 1 et Niveau 2.

Gestion des arrivées et des départs

Arrivée d’un collaborateur

[A son arrivée le collaborateur doit prendre connaissance des mesures de sécurité en vigueur dans l'entreprise et prendre l'engagement de s'y conformer]

Le processus RH de l'arrivée d'un nouveau collaborateur prévoit la validation de :

  • La liste des actifs remis (laptop, téléphone, périphériques annexes, sac de transport ...)
  • La charte informatique
  • La clause de confidentialité pour les personnels sensibles si nécessaire

Départ des collaborateurs

[L'entreprise doit mettre en place un processus documenté de départ des collaborateurs]

Lors de son départ, l'utilisateur doit restituer à la DSI ou à son supérieur hiérarchique les matériels mis à sa disposition. L'utilisateur s'interdit de conserver toute donnée quel qu'en soit le support, tout matériel, et toute ressource informatique appartenant à l'entreprise ; à cet effet, il signera un engagement de confidentialité à l'occasion de la fin de sa collaboration. L'utilisateur doit sauvegarder et/ou supprimer ses données personnelles du matériel informatique restitué à l'entreprise. Aucune copie de ces données ne sera conservée par l'entreprise. L'utilisateur et le responsable de la DSI doivent se mettre d'accord quant à l'usage qu'il sera fait des courriers électroniques.

Les comptes et les données personnelles de l'utilisateur sont, en tout état de cause, supprimés dans un délai maximum d'un mois après son départ. Toute tentative de restauration du compte directement ou indirectement par l'intéressé serait considérée comme une tentative d'atteinte, voire une atteinte au système de traitement automatisé de données de l'entreprise, sanctionnée par les articles 323-1 et suivants du Code Pénal.

Sensibilisation et formation à la sécurité des systèmes d’information

Sensibilisation des utilisateurs

[L'entreprise peut mettre en place une politique de sensibilisation des collaborateurs avec les moyens s'y rapportant (Outils, contenus, mesures d'efficacité). Les collaborateurs se doivent de respecter cette politique]

Les collaborateurs s'engagent à respecter la politique de sensibilisation mise en place par l'entreprise et à participer aux différentes étapes de cette politique qui leur seront proposées. En cas de manquement à cette politique, des sanctions peuvent être prises par l'entreprise. La première étape de cette sensibilisation est la prise en compte en toute connaissance de ce présent document.

Formation des personnels sensibles

[L'entreprise peut mettre en place des plans de formations certifiantes à destination des personnels sensibles afin de mettre à travers ces personnels des ressources de sensibilisations et de veilles à destination des collaborateurs]

Les collaborateurs s'engagent à respecter les processus de sensibilisation mis en place par les personnels sensibles formés à cet effet et à remonter auprès de ces personnels tous types d'informations relatives à la cybersécurité.

Contrôles des identités

Gestion des habilitations et des accès

[L'entreprise doit établir une politique de la gestion des identités prenant en compte l'adéquation des missions du collaborateur avec les droits sur les différents éléments du SI qui peuvent lui être accordés]

Chaque utilisateur se voit consentir un accès plus ou moins étendu au SI, selon ses paramètres de connexion et droits d'accès [cf : Matrice des droits]. Ces droits sont en corrélation avec les missions qu'ils exercent au sein de l'entreprise. Toute tentative volontaire de s'approprier une extension de ces droits peut être considérée comme une infraction à ce présent document.

Identification, authentification

[Le collaborateur doit s'engager à suivre les modalités d'accès aux ressources du système d'information mises à disposition par l'entreprise]

Il est fourni à chaque utilisateur un identifiant et un premier mot de passe provisoire pour démarrer sa première session. Suivant le profil des utilisateurs, il existe ensuite différents identifiants et mots de passe permettant d'accéder à diverses ressources. Les moyens d'authentification sont personnels et confidentiels.

Gestion des mots de passe

[Le collaborateur doit s'engager à suivre la politique de mot de passe édictée par l'entreprise. Cette politique doit être conforme aux règles de bonnes pratiques en vigueur (règles de l'ANSSI si possible)]

Le mot de passe doit être choisi suivant la politique de mot de passe imposée par l'entreprise à savoir :

  • Douze caractères minimum combinant chiffres, lettres et caractères spéciaux.
  • Il ne doit comporter ni le nom, prénom ni l'identifiant d'ouverture de la session de travail.
  • Le renouvellement du mot de passe est forcé par un mécanisme technique tous les 90 jours.

L'utilisateur est personnellement responsable de l'utilisation qui peut être faite de ses identifiants et ne doit en aucun cas les communiquer.

Gestion des privilèges

[Les utilisateurs à privilèges peuvent être soumis à des règles de sécurité renforcées. Ces règles peuvent être techniques (Authentification renforcée) ou contractuelles (Contrat de travail, clause de confidentialité)]

Les utilisateurs à privilèges doivent impérativement utiliser les outils de double authentification mis à leur disposition. Toute infraction sans autorisation de la DSI à ces règles pourra faire l'objet de sanctions disciplinaires.

Accès physique

[L'accès aux locaux de l'entreprise doit être sécurisé par des moyens appropriés (badges, biométrie...). L'accès au local hébergeant les actifs informatiques doit faire l'objet d'une sécurité particulière (restriction des accès, surveillance...)]

Chaque collaborateur se voit attribuer un badge nominatif. Ce badge est configuré afin de donner accès aux zones auxquelles le collaborateur doit pouvoir accéder dans le cadre de ses missions.Il est fortement conseillé de n'utiliser ce badge que pour son propre accès afin d'éviter l'accès sur zone à des personnels non habilités. Les visiteurs doivent être accompagnés par la personne responsable de leur venue.

Gestion des accès internet

Modalités d’accès

[L'entreprise doit définir les modalités d'accès à internet pour les utilisateurs tels que :

  • Modalités des accès aux sites professionnels
  • Restriction d'accès
  • Utilisation des réseaux sociaux
  • ...]

L'entreprise encourage un accès aux sites exclusivement professionnels. Toutefois, elle tolère un accès limité et aux heures de pause à des sites non professionnels. L'utilisateur s'engage à ce que les sites internet consultés n'aient pas de contenus contraires à la loi, à l'ordre public, et il ne doit jamais mettre en péril l'intérêt et la réputation de l'entreprise.

En aucun cas l'utilisateur ne peut créer un site ou des pages personnelles au moyen du matériel et l'accès internet mis à sa disposition par l'entreprise, ni alimenter un site en lien avec son activité professionnelle sans autorisation préalable de la direction.

L'accès aux réseaux sociaux et aux plateformes numériques et de chat n'est pas limité mais doit faire l'objet d'une attention particulière de la part de l'utilisateur. Nul ne doit se connecter au réseau Internet en passant par un moyen autre que ceux fournis par l'entreprise, sauf autorisation spécifique.

Règles de bon comportement

[L'entreprise peut édicter certaines règles de bon comportement vis-à-vis des usages de l'internet]

Chaque Utilisateur s'interdit tout comportement répréhensible dans l'utilisation des accès au réseau internet comme l'usurpation d'adresse ou d'identité, l'échange d'informations illégales, diffamatoires ou portant atteinte à la vie privée d'autrui.

La connexion à finalité professionnelle sur des sites professionnels ou à des forums en ligne professionnels, autorisée par l'entreprise, conduira l'utilisateur à modérer en toutes circonstances ses propos, à veiller à ne diffuser aucune information stratégique professionnelle, ni aucune information relative aux clients de l'entreprise.

Nul ne doit se connecter au réseau Internet en passant par un moyen autre que ceux fournis par l'entreprise. L'utilisateur ne doit pas connecter un poste de travail à Internet via un téléphone mobile ou autre modem lorsque l'ordinateur est connecté au réseau, sauf autorisation spécifique de la Direction ou du responsable informatique.

L'usage des réseaux sociaux doit faire l'objet d'une vigilance particulière de la part de l'utilisateur (sauf exception particulière). Il est par exemple interdit de divulguer des informations sur l'entreprise et fortement déconseillé de la citer dans vos informations personnelles (compte, profil).

Participer à des conversations en ligne (chat) n'est pas interdit par la présente charte, mais l'utilisateur doit prendre conscience du caractère dangereux pour l'entreprise de cette activité.

Contrôle des usages

[L'entreprise se doit légalement d'informer les utilisateurs sur les contrôles en place des usages de l'internet et d'en décrire le contenu]

Un contrôle de l'usage d'Internet par utilisateur est mis en place par la DSI. Il porte sur :

  • les durées des connexions
  • le volume des données consultées
  • les sites les plus visités.

Ces contrôles peuvent être utilisés dans le cadre de sanctions éventuelles en cas de manquement aux règles édictées dans ce document.

Utilisation des intelligences artificielles (IA) et protection des informations sensibles

Cadre d’utilisation

L'entreprise reconnaît que l'utilisation d'Intelligences Artificielles (IA) peut offrir des avantages significatifs en matière d'efficacité opérationnelle, de prise de décision et d'innovation. Toutefois, il est impératif de garantir que l'utilisation des IA se fait dans le respect de la sécurité des informations sensibles de l'entreprise. Cet article établit les directives et les responsabilités relatives à l'utilisation des IA dans le but de prévenir les fuites ou les transmissions non autorisées d'informations sensibles.

Utilisation responsable des outils d’IA

Tout employé ou utilisateur autorisé d'IA est tenu de prendre des mesures appropriées pour garantir la sécurité des informations sensibles traitées par ces systèmes. Cela inclut la familiarisation avec les protocoles de sécurité en place, la mise à jour régulière des logiciels et le signalement immédiat de toute anomalie ou incident de sécurité.

L’utilisation de l’IA ne doit pas remplacer la prise de décision humaine ni négliger l’expertise humaine et le raisonnement associé.

Les réponses générées par les logiciels d’IA doivent être vérifiées et validées avant d’être partagées en interne (collaborateurs) ou en externe (clients, usagers, partenaires…) et doivent porter la mention « généré par une IA »

Sécurité et confidentialité des données

Les utilisateurs doivent respecter le règlement général sur la protection des données et ne partager aucune donnée personnelle dans leurs interactions avec les IA.

Gestion des accès

L'accès aux systèmes d'IA et aux données qu'ils traitent doit être strictement limité aux employés et aux utilisateurs autorisés.

Les droits d'accès doivent être attribués sur une base de besoin en fonction du rôle et de la responsabilité de chaque utilisateur.

Surveillance

L’entreprise se réserve le droit de surveiller les interactions avec les IA pour assurer la conformité avec cette charte et les politiques de l’entreprise.

Utilisation de la messagerie

Cadre d’utilisation

[L'entreprise doit définir le cadre d'utilisation de la messagerie tel que :

  • Utilisation à des fins non professionnelles
  • Restriction
  • Obligations légales
  • ...]

La messagerie mise à disposition des utilisateurs est destinée à un usage professionnel. Toutefois, il est toléré un usage limité et raisonnable, en dehors des heures de travail ou pendant les temps de pause, de la messagerie à des fins non professionnelles dans des proportions limitées en temps et en volume.

Tout message qui comportera la mention expresse ou manifeste de son caractère personnel ("perso", "privé" ou "personnel") bénéficiera du droit au respect de la vie privée et du secret des correspondances. A défaut, le message est présumé professionnel. L'entreprise s'interdit d'accéder aux messages identifiés comme "personnel" dans l'objet de la messagerie de l'utilisateur. Il est interdit d'utiliser des services d'un site web spécialisé dans la messagerie.

Contenu des messages

[L'entreprise se doit de définir des modalités concernant le contenu des messages et leur utilisation telles que :

  • Comportement de l'utilisateur vis-à-vis des mails suspects
  • Protection des informations confidentielles contenues dans les mails
  • Bonne pratique d'utilisation, durée de conservation
  • Outils et moyens à disposition
  • ...]

La réception de messages suspects et/ou en provenance d'interlocuteurs non identifiés doit conduire l'utilisateur à leur suppression immédiate et à s'abstenir de toute ouverture des éventuelles pièces jointes, notamment s'agissant de spam ou de courriers électroniques à caractère de démarchage, commercial ou frauduleux. Un message envoyé par Internet peut potentiellement être intercepté, même illégalement, et lu par n'importe qui.

En conséquence, aucune information stratégique ou confidentielle ne doit circuler de cette manière, sauf à la chiffrer. L'utilisateur désirant chiffrer ses messages ou son contenu devra faire une demande à la DSI afin de disposer des outils nécessaires. L'utilisateur veille à supprimer régulièrement les messages devenus inutiles ou obsolètes, afin de ne pas surcharger le système de messagerie. La redirection des mails vers une adresse non professionnelle est strictement interdite. Les messages électroniques sont conservés sur le serveur de messagerie pendant une période de 6 jours.

Relation avec les tiers

[L'entreprise doit définir les règles de sécurité à faire appliquer au tiers par les collaborateurs]

L'accès physique aux locaux de l'entreprise pour les tiers (clients/fournisseurs) se fait selon la politique d'accès visiteurs (remise d'un badge visiteur, accompagnement systématique par un collaborateur de l'entreprise, livret d'accueil). Les demandes d'accès logiques (accès à tout ou partie du SI) doivent obligatoirement faire l'objet d'une demande formalisée à la DSI. Tout manquement à cette règle sera suivi de sanctions.

Pour les demandes d'accès prolongées supérieures à 48 heures (sous-traitance, prestation, stage, etc.), le collaborateur doit obligatoirement faire prendre connaissance de la présente charte et veiller à l'application des règles de sécurité qu'elle contient. Suivant la nature de l'intervention ou de la mission du tiers, la DSI pourra demander la souscription à la clause de confidentialité édictée par l'entreprise.

Gestion des incidents de sécurité

[En cas d'incident de sécurité avéré, l'entreprise se doit de définir un processus de gestion des incidents de sécurité connu de tous les collaborateurs]

Chaque collaborateur ou utilisateur du SI a l'obligation de communiquer à la DSI toute suspicion ou détection d'un incident de sécurité dont il aurait connaissance ou qu'il aurait lui-même occasionné.

Par exemple, toute perte ou destruction de données, toute utilisation malveillante, toute dégradation même accidentelle susceptible de porter atteinte à l'intégrité et à la pérennité du SI de l'entreprise ou du matériel confié, ou encore des données. Un guide de gestion de crise est disponible sur le site Intranet de l'entreprise, il doit être connu et appliqué en cas d'incident de sécurité avéré.

Obligations légales et réglementaires

[L’entreprise doit définir la liste des obligations légales et réglementaires auxquelles elle est soumise en matière de sécurité des SI. Elle doit informer les collaborateurs et les utilisateurs des droits et devoirs se rapportant aux respects de ces obligations quand elle le juge nécessaire]

Code de la propriété intellectuelle

L'utilisateur ne doit pas reproduire, télécharger, copier, modifier, utiliser les logiciels, bases de données, données, pages web, contenus multimédias ou autres créations protégées par le droit d'auteur ou un droit privatif sans avoir obtenu préalablement l'autorisation des titulaires de ces droits et de l'entreprise elle-même.

Nul ne doit effectuer des copies de logiciels commerciaux pour quelque usage que ce soit, hormis une copie de sauvegarde dans les conditions prévues par le code de la propriété intellectuelle. Cette copie ne peut être effectuée que par la personne habilitée à cette fin par le responsable de service.

Respect du droit à la personne

Sont interdits notamment la propagation d’informations à caractère injurieux, raciste, diffamatoire, harcelant, obscène ou menaçant ainsi que le fait de porter atteinte à l’image ou à la réputation d’autres personnes.

Loi Godfrain (fraude informatique)

L'accès frauduleux à tout ou partie des SI de l'entreprise ou d'entreprises extérieures est interdit et réprimé par la loi. Il en est de même pour l'exploration des systèmes et réseaux, la suppression ou la modification des données, l'altération du fonctionnement des SI ou l'entrave à leurs fonctionnements, ainsi que pour les actes de malveillance commis par l'introduction, la suppression, la falsification ou le détournement de données ou de leur mode de traitement ou de transmission.

Protection des données à caractère personnel

[Le RGPD s'applique à toute organisation, publique et privée, qui traite des données personnelles pour son compte ou non, dès lors : qu'elle est établie sur le territoire de l'Union européenne, ou que son activité cible directement des résidents européens. Il vient compléter le cadre de la loi Informatique et Liberté]

Les utilisateurs s'engagent à respecter les différents principes de la réglementation en vigueur et d'activement participer à la sécurité des traitements. Les principes généraux relatifs à la protection des données font référence à la limitation de la finalité, la minimisation des données, la limitation des durées de conservation des données, d'assurer la qualité des données, la protection des données, la licéité du traitement, les mesures visant à garantir la sécurité des données et suivre les exigences en matière de transferts des données.

Les données à caractère personnel doivent être traitées de manière à garantir une sécurité et une confidentialité appropriées, y compris pour prévenir l'accès non autorisé à ces données et à l'équipement utilisé pour leur traitement, ainsi qu’une utilisation non autorisée. Entre autres, il est également interdit aux utilisateurs du SI de collecter ou de traiter des données à caractère personnel faisant apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelles de ces dernières.

La DSI n’ayant pas la capacité de contrôler le contenu même de tous les fichiers informatiques gérés par les utilisateurs, il appartient à chaque utilisateur qui élabore un fichier contenant des données à caractère personnel d’en informer la DSI et le Référent RGPD. L’entreprise est amenée à collecter des données à caractère personnel sur les utilisateurs du SI. Elles ne sont traitées que pour des finalités déterminées et conservées le temps nécessaire à l’exécution de nos obligations légales et contractuelles.

Conformément à la réglementation en vigueur sur la protection des données à caractère personnel, vous disposez :

  • d’un droit d’accès,
  • de rectification,
  • d’effacement,
  • de portabilité,
  • de limitation,
  • d’opposition, pour motif légitime.

Vous pouvez exercer vos droits, sous réserve du respect de nos obligations légales et contractuelles, et de la justification de votre identité, auprès du référent RGPD.

L’utilisateur doit se conformer aux obligations suivantes :

  • Informer la DSI et le Référant RGPD de toute création d’un fichier contenant des données à caractère personnel afin de décider de la démarche adéquate à suivre ;
  • Détruire systématiquement tout fichier contenant des données à caractère personnel lorsque la finalité du traitement est atteinte, hors archivage obligatoire ;
  • Signaler sans délai à la DSI toute violation ou tentative de violation suspectée de son compte informatique et de manière générale tout dysfonctionnement ;
  • Respecter les procédures applicables afin d’encadrer certaines opérations (par exemple, la copie de données sur des supports amovibles).

L’Utilisateur ne doit pas :

  • Élaborer des fichiers contenant des données à caractère personnel, en particulier s’ils n’ont pas de rapport direct avec les missions de l’utilisateur ;
  • Stocker des fichiers sensibles, confidentiels ou comportant des données à caractère personnel sur une clé USB non chiffrée, qui peut être perdue ou un autre support de stockage de type mémoire de stockage d’imprimante par exemple ;
  • Supprimer des informations si cela ne relève pas des tâches incombant à l’utilisateur.

Cliquer ici pour en savoir plus sur la compliance au RGPD

Responsabilités et sanctions

[L’entreprise se doit de définir les responsabilités des utilisateurs et les différentes sanctions applicables en cas d’infraction aux règles de sécurité énoncées dans ce document]

Les responsables de services ont le droit de demander l'interdiction temporaire ou définitive de l'accès aux ressources informatiques à un utilisateur qui enfreint les règles édictées dans la présente charte.

Les lois, les textes réglementaires et la présente Charte définissent les droits et les obligations des utilisateurs utilisant les ressources informatiques. Toute violation de la présente Charte sera susceptible d’engager la responsabilité de l’utilisateur, tant sur le plan civil que pénal conformément à la réglementation en vigueur, notamment au regard des articles 226-16 à 226-24 du code pénal.

L’usage des moyens informatiques et plus généralement des ressources informatiques mis à la disposition de l’utilisateur, dans des conditions violant les règles édictées dans la présente Charte, expose ce dernier à des sanctions disciplinaires, sans préjudice des éventuelles poursuites judiciaires d’ordre civil ou pénal. Les responsables de service ont pleine autorité pour prendre les mesures conservatoires nécessaires et pour saisir l'autorité hiérarchique des manquements graves résultant du non-respect de cette charte pouvant déclencher des procédures disciplinaires ou pénales. Seule la DSI est compétente de la gestion du non-respect de la charte sur l’aspect données informatiques.

Les utilisateurs fautifs peuvent être sanctionnés selon la procédure décrite dans le règlement intérieur de l’entreprise.

Droit à la déconnexion

Pleinement consciente des contraintes imposées par les impératifs clients d’une part et par le décalage horaire avec les filiales étrangères d’autre part, la Direction a néanmoins le souci de préserver le meilleur équilibre possible entre les activités professionnelles et les activités personnelles de chacun des collaborateurs.

A cet effet, elle recommande de limiter l’usage de la messagerie professionnelle et du téléphone en dehors des horaires habituels de travail. Ainsi, les mails envoyés tard le soir et pendant les WE ou jours fériés sont considérés comme « non lus » par les destinataires internes. De même, pendant la période de congé du destinataire (réception d’un message d’absence), les mails ne sont pas présumés être lus.

Entrée en vigueur du document

[L’entreprise doit définir les modalités d’adoption, de contrôle et de révision du présent document ainsi que sa date d’entrée en vigueur]

La présente charte a été adoptée après information et consultation des délégués du personnel et annexée au règlement intérieur. Elle a été soumise au contrôle de l’Inspection du Travail et déposée au secrétariat greffe du Conseil de Prud'hommes compétent. Elle entrera en vigueur un mois après l’accomplissement des dernières formalités de publicité et de dépôt au secrétariat-greffe du Conseil de Prud’hommes. Les salariés ont été informés de l’existence de la charte par voie d’affichage et diffusion sur l’intranet. Cette dernière leur est de plein droit opposable. Son contenu peut être complété, amendé ou modifié à l’initiative de la Direction de l’Entreprise et selon les mêmes règles que celles observées pour son adoption.

Conclusion

Ce guide de rédaction de charte informatique a été élaboré dans le but de définir clairement les règles et les bonnes pratiques liées à l'utilisation du système d'information au sein de l'entreprise. Etablir ces directives permet garantir la sécurité, la confidentialité, et l'intégrité des données, ainsi qu'à promouvoir une utilisation responsable et éthique des ressources informatiques mises à disposition.

Les collaborateurs sont encouragés à prendre connaissance de ce document et à le respecter scrupuleusement dans l'exercice de leurs fonctions. En adoptant une approche proactive en matière de sécurité informatique, nous nous engageons à maintenir un environnement de travail sûr, respectueux des droits des individus et conforme aux réglementations en vigueur.

La mise en place d'une charte témoigne d'un engagement envers la protection de nos actifs informatiques et des informations sensibles de l'entreprise.