Fixer des règles claires, tracer une frontière entre ce qui est autorisé et ce qui ne l’est pas, se protéger de l’intrusion de cybercriminels, informer les salariés des modalité de contrôle de leur employeur… Autant de sujets qu’il est utile d’aborder dans une charte informatique.
De plus en plus d’entreprises se dotent d’une charte de sécurité informatique. Une nécessité pour établir des règles claires d’utilisation du système d’information et se prémunir contre les attaques des cybercriminels. Une fois rédigé, ce document doit être porté à la connaissance du personnel par tous moyens. « Il peut être affiché, transmis avec la première feuille de paie ou validé par chaque salarié lors de sa première connexion à son poste de travail », explique Pascal Guicherd, directeur informatique du cabinet d’expertise-comptable MG, membre du groupement France Défi. Pour être exécutoire, la charte doit être déposée au greffe du tribunal des Prud’hommes et transmise à l’inspection du travail. Et dans tous les cas, elle doit faire l’objet d’un toilettage régulier, au maximum tous les cinq ans, pour s’adapter à l’évolution des technologies.
Les pratiques autorisées dans une charte informatique
Et le contenu ? Il doit balayer l’ensemble des sujets en lien avec le système d’information, y compris la téléphonie mobile et fixe. « En préambule, cette charte doit préciser les modalités de connexion au système d’information de l’entreprise, en rappelant notamment le niveau de complexité des mots de passe et la périodicité de leur renouvellement », note Pascal Guicherd. Elle doit aussi rappeler l’interdiction de désactiver les antivirus et la marche à suivre en matière d’utilisation des programmes et des fichiers, et préciser le format et le contenu des fichiers qu’il est possible d’envoyer ou d’ouvrir. « C’est aussi l’occasion de rappeler l’interdiction de télécharger des logiciels sans l’accord du service informatique ou de brancher une clé USB personnelle. Idem pour l’utilisation du poste de travail à des fins répréhensibles comme le téléchargement illégal », relève encore Pascal Guicherd. Internet constitue l’un des principaux sujets abordés dans la charte : certaines entreprises le limitent à un usage strictement professionnel, d’autres font preuve de davantage de souplesse, permettant à leur personnel de consulter messageries personnelles et réseaux sociaux, pour autant qu’il n’y ait pas d’abus.
Encadrer l’usage des smartphones et le BYOD
Autre sujet abordé : le contrôle des données par l’entreprise. Il peut, par exemple, être spécifié que l’employeur a la possibilité de consulter les mails de ses salariés, notamment en cas d’absence, à l’exception de ceux dont l’objet mentionne expressément le terme « personnel ». « Dès lors que des contrôles sont envisagés, le traitement mis en œuvre doit être déclaré à la Commission nationale de l’informatique et des libertés (CNIL) », prévient Pascal Guicherd. La charte doit aussi encadrer l’usage des smartphones, puisqu’ils proposent les mêmes fonctionnalités que les ordinateurs, et le BYOD (pour « bring your own device », soit le matériel informatique personnel utilisé par le salarié au travail). Les salariés ont-ils le droit d’utiliser leur propre matériel pour se connecter au bureau ? Peuvent-ils utiliser le matériel professionnel à leur domicile le prêter à leurs enfants ? Si oui, à quelles conditions ? A chaque entreprise de répondre à cette problématique. Toutes ces dispositions peuvent donner lieu à des sanctions, qui peuvent elles aussi être listées précisément dans la charte.