RGPD : élaborez votre charte informatique en 9 points clés.

RGPD & charte informatique

Une charte informatique réglemente les usages des outils informatiques mis à la disposition des salariés d’une entreprise et contribue à la mise en œuvre de mesures organisationnelles appropriées afin de garantir un niveau de sécurité recommandées par le RGPD. Découvrez les 9 points clés nécessaires à l’élaboration d’une charte informatique.

Avec l’entrée en application le 25 Mai 2018 du Règlement Général sur la Protection des Données Personnelles (RGPD ou GPRD), la sécurité des systèmes d’information et des données est devenue une priorité pour les organisations, le RGPD renforçant par ailleurs les niveaux de sanction applicables au travers de la CNIL. A ce titre, l’article 32 du RGPD prévoit notamment que le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque. Dans cette logique, la CNIL insiste sur la nécessité de « faire prendre conscience à chaque utilisateur des enjeux en matière de sécurité et de vie privée », la mise en œuvre d’une charte informatique s’inscrivant clairement dans ce processus.

Charte informatique : les 9 points clés recommandés dans le cadre du RGPD

Suivant les recommandations de l’ANSSI et de la CNIL, vous trouverez ci-dessous les 9 points clés essentiels à l’élaboration d’une telle charte.

1. Objectifs de la charte informatique 

La charte d’utilisation des moyens informatiques a pour finalité de contribuer à la préservation de la sécurité du système d’information de l’entité et fait de l’utilisateur un acteur essentiel à la réalisation de cet objectif, à qui il incombe une utilisation raisonnée et responsable des ressources informatiques et technologiques de l’entité mises à sa disposition.
La charte doit être rédigée de manière compréhensible par chacun des utilisateurs et pourra au besoin servir de support juridique en cas de contentieux. 
Elle recense :

• les usages permis des moyens informatiques mis à sa disposition ;
• les règles de sécurité en vigueur ;
• les mesures de contrôle prises par l’employeur ;
• les sanctions encourues par l’utilisateur.
  
  

2. La charte informatique doit contenir des définitions précises des termes clés du document.

• Vos collaborateurs doivent comprendre leurs engagements et vous devez veiller à éviter toute mauvaise interprétation des termes employés.
• Les définitions doivent tenir compte des spécificités propres à votre entreprise.
  
  

3. La charte informatique doit contenir des définitions précises des termes clés du document.

• Vos collaborateurs doivent comprendre leurs engagements et vous devez veiller à éviter toute mauvaise interprétation des termes employés qui doivent tenir compte des spécificités de votre entreprise.
  
  

4. La charte informatique doit clairement rappeler son objet et sa portée.

• Elle précise les droits et devoirs de l’utilisateur / de vos collaborateurs. À noter que, selon le niveau de responsabilité et d’habilitation de vos utilisateurs, la charte peut différer, avec des devoirs étendus notamment pour l’administrateur de votre réseau.
  
  

5. La charte informatique doit préciser les usages validés au sein de l’entreprise

Afin de définir les usages il convient au préalable de faire le travail suivant :

• Recenser les besoins auxquels le système d’information doit répondre.
• Répertorier l’ensemble des moyens informatiques et outils numériques mis à disposition des utilisateurs (ordinateur, poste de travail nomade, imprimante, smartphone, supports de stockage amovibles, serveurs de partage de fichier, applications web, applications métier..)
• Déterminer les règles d’utilisation de ces moyens et les interdictions (cf détail des bonnes pratiques dans « Conseil Bonnes pratiques pour sécuriser son réseau informatique au sein de l’entreprise »)
  
  

6. La charte informatique doit définir les devoirs des utilisateurs au sein de l’entreprise

• Il s’agit de sensibiliser les collaborateurs sur leur responsabilité et rôle essentiel dans la protection du système d’information avec lequel ils travaillent.
• Les devoirs découlent des usages et moyens informatiques utilisés ;  L’utilisateur est notamment tenu par des obligations générales telles que la confidentialité, la discrétion, la loyauté ou la vigilance.

Quelques exemples :
- ne communiquer d’informations qu’aux personnes ayant besoin d’en connaître ;
- utiliser les moyens mis à sa disposition pour chiffrer les informations de l’entité ;
- les moyens d’authentification doivent rester strictement personnels et ne pas être communiqués à un tiers
- utiliser les mots de passe qui respectent les bonnes pratiques en vigueur...

7. La charte informatique doit lister les moyens de contrôle mis en place par l’entreprise afin de veiller au respect de la charte.

Il convient de lister les mesures et les conditions dans lesquelles elles sont mises en œuvre (conservation des données de connexion, chiffrement des données, déchiffrement de flux https, gestion stricte des accès, contrôle des messageries professionnelles, etc.). Ces mesures devront être proportionnées à l’objectif poursuivi.

8. La charte informatique doit lister les sanctions prévues par l’entreprise en cas de non-respect de la charte.

Une charte informatique ne prend tout son sens que si elle est respectée par vos collaborateurs….

9. La charte informatique doit être validée par les salariés de l’entreprise et signée par ces derniers.

Il est d’usage d’expliquer cette charte à l’entrée des collaborateurs et de l’annexer éventuellement au contrat de travail ou au règlement intérieur de l’entreprise. L’élaboration d’une charte d’utilisation des moyens informatiques et des outils numériques est un moyen :

• de sécuriser le système d’information en responsabilisant vos collaborateurs à une bonne hygiène informatique.
• de renforcer leur vigilance face à certaines négligences qui conduiraient votre entreprise à faire face à une cyber attaque.

Charte informatique & Assurance RGPD 

Vos collaborateurs sont souvent par inadvertance à l’origine de failles de sécurité ou d’opérations génératrices de vulnérabilités.
Selon la dernière étude réalisée par Kapersky Lab (CISCO CYBERSECURITY SPECIAL REPORT), au sein des petites et moyennes entreprises (PME), le facteur humain est à l’origine de 46 % des atteintes au système d’information des entreprises et des violations des données personnelles. 
La mise en place d'une charte informatique vous permet de réglementer les usages des outils informatiques mis à la disposition de vos salariés.  Elle participe à la mise en œuvre de mesures organisationnelles appropriées afin de garantir un niveau de sécurité recommandé par le RGPD mais elle ne vous protège pas des cyber risques.
En souscrivant une cyber assurance qui inclut une couverture assurance RGPD, vous garantissez à votre organisation la prise en charge des conséquences financières de ces nouveaux risques et vous permet de bénéficier d'une CYBER ASSISTANCE 24 H / 24 qui vous aidera à gérer une cyber attaque. Renseignez-vous !  Votre Devis Assurance CYBER COVER en moins de 5 mn !

Marc-Henri BOYDRON . Source: Guide pratique de la CNIL – www.cnil.fr