La charte technologique : pour la protection des réseaux et des données de l’entreprise

La charte définit les règles d’utilisation des équipements et logiciels mis à la disposition des salariés. Son objectif : sensibiliser et responsabiliser les salariés à la sécurité des réseaux et des données.

Qu'est-ce qu'une charte technologique ?
Une charte technologique est un document interne à l'entreprise, dont la finalité première est de préciser les règles applicables à l'utilisation des équipements et logiciels mis à la disposition des salariés, afin d'assurer la bonne gestion des ressources et la sécurité des réseaux et données de l'entreprise.

Il n'existe pas de dénomination unique pour ce type de document. On peut le retrouver sous des dénominations diverses, telles que : charte informatique, charte NTIC, règlement applicable aux équipements IT, règlement applicable à l'utilisation des ressources technologiques, etc.

Les chartes technologiques sont aujourd'hui assez largement adoptées dans les grandes entreprises, notamment celles d'origine anglo-saxonne, mais pas encore assez dans le monde des PME. De même, ces chartes sont relativement répandues dans les entreprises technologiques mais pas encore assez dans les autres entreprises, bien que toutes utilisent les technologies de l'information (TIC). Cependant, même dans les entreprises où un tel document existe, une mise à jour régulière s'impose.

Pourquoi mettre en place une charte technologique dans l'entreprise ?
Les outils technologiques mis à la disposition des collaborateurs de l'entreprise ne se limitent plus à un téléphone fixe et à un ordinateur de bureau. Non seulement ces outils se sont diversifiés ces dernières années, mais leur utilisation a également beaucoup évolué.

De plus en plus de collaborateurs ont par ailleurs une activité "nomade", n'étant pas installés devant un bureau pendant toute la durée de leur travail, mais devant participer à des réunions, se déplacer chez des clients, ou travailler à distance. Ces collaborateurs ont cependant besoin de rester en contact avec collègues et clients via téléphone et ordinateur portable, smartphone, et autres.

Enfin, de nombreux collaborateurs peuvent être tentés d'utiliser leurs propres équipements sur le lieu de travail, à des fins professionnelles ou non : téléphone portable personnel, baladeur MP3, clé USB, sans oublier la consultation d'Internet et des messageries personnelles.

La mise en place d'une charte technologique au sein de l'entreprise aura ainsi un double objectif :
- d'une part, la nécessaire information des salariés sur les utilisations autorisées des technologies,
- d'autre part, cadrer les sanctions éventuellement applicables en cas de non-respect de ces règles, le tout dans un souci de bonne gestion des ressources et de sensibilisation des salariés à la sécurité des réseaux et des données de l'entreprise.

Il incombe donc au responsable informatique, en coordination avec le responsable des ressources humaines, de définir les contours de ce document avant son déploiement. La mise en place d'une charte technologique obligera en effet le département informatique à valider ses procédures internes de sécurité et à s'assurer que ces procédures restent en phase avec l'évolution des technologies et de leurs modes d'utilisation.

Le contenu de la charte technologique
La charte technologique couvrira généralement les thématiques relatives à l'utilisation des équipements et logiciels de l'entreprise, ainsi que les règles d'utilisation des divers équipements technologiques des salariés.

1) Les conditions d'utilisation des équipements et logiciels de l'entreprise préciseront, notamment :
    - Les règles applicables aux équipements et logiciels : le document définira les règles d'utilisation des ordinateurs mis à la disposition des salariés et si une utilisation résiduelle personnelle est tolérée ou non. On trouvera également les règles d'utilisation des logiciels et progiciels, les règles relatives à la sécurisation de l'accès aux documents par la mise en oeuvre, l'utilisation et le renouvellement des mots de passe, et des précisions sur les téléchargements de logiciels éventuellement autorisés et interdits. Pour les salariés nomades, il conviendra de préciser les règles de connexion à distance aux serveurs de l'entreprise ou les règles de sécurité applicables pour l'utilisation de clés USB ou de disques durs externes.

De même, la charte pourra rappeler les règles d'accès aux documents stockés sur le disque dur de l'ordinateur mis à la disposition du salarié, ou à l'espace de stockage dédié au salarié sur les serveurs de la société, d'autant que ces règles d'accès sont désormais clairement définies par la jurisprudence (1);

    - Les règles applicables à l'utilisation de la messagerie électronique et de la messagerie instantanée : celles-ci pourront indiquer la taille maximum des documents pouvant être joints aux courriels et les précautions à prendre concernant la sauvegarde des pièces jointes en provenance de sources extérieures. Pourront également être définies les règles d'utilisation de la messagerie à titre personnel. En outre, il sera utile de préciser si l'utilisation de la messagerie instantanée est autorisée ou non. En effet, contrairement à la messagerie électronique, l'utilisation de la messagerie instantanée ne permet pas de conserver la trace des messages échangés (contenus ou données de connexion). Alors qu'il s'agit d'un moyen de communication pratique pour des échanges "instantanés" et de nature non essentielle, ce service se révèle inapproprié pour des échanges professionnels nécessitant la conservation des messages et des données de connexion.

Enfin, des règles peuvent être définies concernant l'utilisation des smartphones, les types de smartphones autorisés ou non dans le cadre professionnel, les règles de conservation des messages sur ces appareils, etc. ;

    - Les règles applicables à l'utilisation d'Internet : l'utilisation d'Internet est devenue quasiment incontournable dans la plupart des fonctions de l'entreprise, en tant que source d'information par exemple. La charte technologique pourra utilement rappeler les limites à l'utilisation de l'Internet, et notamment les sites interdits dans le cadre de l'activité professionnelle ou encore si la société a mis en place un dispositif de filtrage d'accès à internet ;

    - Les règles applicables à l'utilisation du téléphone : la charte technologique définira les règles applicables à l'utilisation du téléphone fixe et portable, professionnel ou personnel. Il est évident que l'employeur ne peut pas interdire toute communication privée pendant les heures de travail. Quant au salarié, la charte pourra rappeler qu'il ne doit pas dépasser les limites de l'urgence ou du raisonnable dans le cadre de ses communications privées. La charte technologique devra également préciser si l'entreprise autorise ou non l'utilisation des logiciels de téléphonie sur IP (VoIP ou ToIP).

L'entreprise sera, par ailleurs, tenue de remplir les formalités de déclaration de traitement de données personnelles auprès de la CNIL en cas de mise en place d'une procédure de suivi des appels téléphoniques (identification par poste d'appel) et d'un système de conservation des données de connexion à Internet par les salariés (identification par poste informatique).

2) Les conditions d'utilisation des équipements technologiques des salariés :
Nombre de salariés sont tentés d'utiliser divers équipements personnels sur leur lieu de travail, tels que baladeur MP3, clé USB ou encore de télécharger ou échanger des contenus numériques. L'utilisation des équipements des salariés sur leur lieu de travail peut porter atteinte à la gestion des ressources de l'entreprise (utilisation massive de la bande passante par exemple), et à la sécurité de ses réseaux et données par l'introduction, le plus souvent involontaire, de virus. La charte technologique précisera donc également les tolérances éventuelles de l'entreprise à cet égard, les limites à l'utilisation de ces divers équipements ainsi que la mise en cause éventuelle de la responsabilité personnelle d'un salarié en cas d'atteinte à la sécurité informatique de l'entreprise du fait de l'utilisation d'un de ses équipements personnels.

Le suivi des évolutions technologiques et la mise à jour de la charte
Même une fois en place dans l'entreprise, ces chartes méritent d'être revues et mises à jour régulièrement pour prendre en compte l'évolution des technologies, des outils et de leurs modes d'utilisation par les salariés.

Par exemple, les chartes technologiques en vigueur depuis plusieurs années ne prennent pas nécessairement en compte l'utilisation des services de VoIP, de la messagerie instantanée, des clés USB ou des smartphones.

De même, il peut être utile de mettre à jour les chartes existantes concernant les activités des salariés sur les réseaux sociaux professionnels (type Viadeo ou LinkedIn) et non professionnels (type Facebook) et la nécessaire protection de la confidentialité des données sensibles de l'entreprise. On voit en effet de plus en plus de descriptions de profils professionnels sur ces réseaux incluant des informations plus ou moins précises sur des projets internes à l'entreprise, voire des listes de contrats conclus, avec divulgation de noms de clients...

Quelles sont les sanctions applicables en cas de non-respect de la charte par un salarié ?
Comme indiqué précédemment, l'un des objectifs de la charte technologique à l'égard des salariés est essentiellement informatif : quelles sont les utilisations autorisées des technologies mises à leur disposition et quelles sont les limites à ces utilisations.

Il est néanmoins possible de donner à la charte technologique une véritable opposabilité vis-à-vis des salariés et donc une valeur supérieure à celle d'un simple code de bonne conduite. L'information des utilisateurs sera alors associée à leur responsabilisation. La charte est ainsi généralement annexée au règlement intérieur de la société. Elle sera ensuite déposée auprès des services de l'Inspection du travail et du greffe du Conseil des prud'hommes du siège de la société.

Le non-respect par un salarié des règles décrites dans ce document sera susceptible d'engager sa responsabilité avec sanctions disciplinaires à la clé.



(1) Voir les dernières décisions dans ce domaine, notamment : Cass. Crim. 19 mai 2004 (JF L./Nortel Europe); Cass. Soc. 17 mai 2005; Cass. Soc. 18 oct. 2006 (J L.F./Techni-Soft); Cass. Soc. 29 jan. 2008 (M. X./Canon); Cass. Soc. 9 juil. 2008 (Franck L./Entreprise Martin).