Charte informatique : un atout essentiel pour la cybersécurité de l’entreprise
L'entreprise, confrontée à des cyber-risques en nombre croissant, se doit aujourd’hui plus encore qu’hier de se doter d’outils, procédures et logiciels en mesure de lui permettre d’assurer sa cybersécurité. Cette exigence s’impose également en raison du contexte réglementaire qui multiplie les exigences, aussi bien transversales que sectorielles. Historiquement, la réglementation sur la protection des données personnelles a, dès 1978, imposé une nécessaire sécurisation de ces données personnelles au regard des risques que leur traitement peut engendrer pour la personne concernée. Depuis, des législations sectorielles sont apparues (secteur financier, de l’énergie, de la santé, des communications électroniques, opérateurs d’importance vitale) qui ont repris cette approche par les risques. Ces réglementations, aujourd’hui foisonnantes (directive CER, règlement CRA, règlement DORA, etc.), sont devenues de plus en plus transversales, avec notamment l’adoption récente de la directive NIS 2 dont les règles pourraient concerner, en fonction de la transposition à venir en 2024 par le Parlement, près de 10000 entreprises françaises.
Tant les régulateurs (Anssi, Cnil, etc.) que les normes techniques reconnues (ISO 27001) imposent de s’assurer que ces règles sont connues des personnels internes et surtout peuvent leur être effectivement opposables en cas de non-respect1. Composante majeure des règles de sécurité organisationnelle, la charte informatique ou charte d’usage des outils numériques (ou autre titre similaire) doit être annexée au règlement intérieur de l’entreprise pour être rendue opposable au salarié.
"L’Anssi, la Cnil ou encore la norme ISO 27001 rappellent la nécessité d’une charte opposable et efficace"
Ce document hybride, aussi bien technique que juridique, est la colonne vertébrale de l’application des règles internes et le pendant de la Politique de sécurité des systèmes d’information (PSSI). En raison de cette nature, elle doit être rédigée en concertation avec au minimum la direction juridique, celle en charge de la cybersécurité, la direction des ressources humaines ou encore le DPO.
Si la charte permet d’assurer le respect de ces règles par les personnels, sa rédaction s’avère être un véritable "champ de mines" juridique :
- la jurisprudence, patiemment construite depuis l’arrêt Nikon du 2 octobre 20012, peut ainsi évoluer drastiquement avec le temps et s’avérer extrêmement casuistique (I) ;
- le cadre réglementaire et technique à prendre en compte est toujours plus foisonnant (II).
I. Concernant l’évolution jurisprudentielle, nous sommes ainsi passés en vingt ans :
- d’une protection absolue des messages privés/extra-professionnels (au visa de la Convention européenne des droits de l’homme !) à une présomption de caractère professionnel généralisée rendant leur contenu accessible à l’employeur.
Par exemple, au terme de la jurisprudence la plus actuelle, l’employeur peut légitimement contrôler tout matériel ou système d’information privé se connectant au système d’information de l’entreprise et, à cet égard, présumé professionnel (document ou message électronique généré sur un ordinateur professionnel y compris les messages WhatsApp ou SMS émis depuis un téléphone professionnel, etc.) ;
- d’un système où la preuve d’une faute du salarié, recueillie de façon non conforme aux règles de droit du travail ou de protection des données personnelles, était nulle devant les tribunaux à un système où elle devient acceptable sous conditions.
De plus, toute formulation doit être très soigneusement choisie, car pouvant impacter les mesures de sécurité internes ou restreindre de façon drastique les contrôles que l’employeur serait en droit de faire, comme l’histoire a pu le montrer3. Sa rédaction doit donc être l’objet de toutes les attentions et pesée à l’aune des centaines de décisions de justice qui la guide.
II. D’autant que doivent être pris en compte :
- un certain nombre de règles juridiques à l’occasion de cette rédaction : règles "classiques" de droit du travail (sur le contrôle, sur l’information des salariés, le formalisme d’adoption du règlement intérieur, etc.), mais aussi les interactions à prévoir avec les règles applicables en matière de télétravail, de droit à la déconnexion ou encore avec la protection des données personnelles. Sans oublier les conséquences de faits parfois tragiques pouvant intervenir dans l’entreprise (décès d’un salarié quant à l’accès à sa messagerie et ses fichiers par exemple);
"Déchiffrement TLS, DLP, Zero trust, droit à la déconnexion, télétravail, IA, autant de sujets à prévoir dans la charte"
- les évolutions en matière de cybersécurité et les mesures de sécurité qui en découlent : historiquement, le déchiffrement des flux TLS (imposant une analyse d’impact relative à la protection des données ou PIA préalable), encadrement des pratiques de Data Leak Prevention, plus récemment approche de type "0 trust" (conduisant à réaliser une l’analyse comportementale des salariés se connectant au SI et donc imposant là aussi la réalisation d’un PIA préalable), etc.
- les évolutions d’usage des outils numériques au sein de l’entreprise et l’intégration d’un cadre au regard des risques (outils cloud, shadow IT, usage des outils d’IA générative, etc.);
- ou encore la mise en œuvre de ces règles auprès des prestataires intervenant sur le système d’information, qui imposent nécessairement l’adaptation du contenu pour intégration dans une annexe dédiée aux contrats de prestation.
Bien rédigée, exhaustive, rendue opposable et prenant en compte l’ensemble des comportements numériques au sein de l’entreprise dont ceux des titulaires de comptes à privilèges, la charte est un atout de plus en plus essentiel pour la cybersécurité de l’entreprise. Elle doit toutefois interagir avec un ensemble documentaire plus vaste, dans lequel figurent également des règles destinées cette fois-ci aux prestataires intervenant sur le système d’information de l’entreprise. En pratique, reprenant l’essentiel des règles de la charte tout en prévoyant des règles propres, celles-ci s’intègrent en annexe aux contrats de prestation. Au moment où tous les regards se portent sur la cybersécurité des prestataires IT, ces règles ne doivent surtout pas être négligées.
SUR L’AUTEUR
François Coupez est avocat à la Cour, fondateur du cabinet Level Up Legal et ancien responsable juridique pendant près de dix ans. Entouré de l’ensemble de l’équipe du cabinet, il met sa double compétence en droit et en cybersécurité au service de nombreuses grandes entreprises, institutionnels et entités du secteur public depuis près de vingt-cinq ans, afin de les conseiller face à leurs contraintes réglementaires en droit du numérique, de la protection des données et de la cybersécurité. Certifié spécialiste en droit des nouvelles technologies (CNB), mais également ISO 27001 Lead implementer, 27701 Lead Implementer (niveaux avancés – LSTI) et DPO (Cnil – Afnor et Apave), il est aussi Senior advisor du Cybercercle. Enseignant à l’université Paris II ou encore à Dauphine, il est responsable des formations de droit de la cybersécurité et de certification des DPO chez HS2 Formation.
1 Voir notamment le Guide d’élaboration d’une charte d’utilisation des moyens informatiques et des outils numériques (Anssi), le Guide de la sécurité des données personnelles (Cnil, 2023) soulignant la nécessité de « Rédiger une charte informatique et de lui donner une force contraignante (ex. : annexion au règlement intérieur) » ou encore le 6.4 de la norme ISO 27001 qui impose la formalisation d’un « processus disciplinaire permettant de prendre des mesures à l’encontre du personnel et d’autres parties intéressées qui ont commis une violation de la politique de sécurité de l’information ».
2 Cass. Soc. 2 octobre 2001, 99-42.942.
3 Cf. Cass. Soc. 26 juin 2012 : indépendamment de la jurisprudence en matière d’accès aux courriels professionnels adressés ou reçus par le salarié, le « règlement intérieur peut toutefois contenir des dispositions restreignant le pouvoir de consultation de l’employeur, en le soumettant à d’autres conditions ». Dans ces cas « celles-ci prévaudront sur les critères issus de la jurisprudence ». Or, dans cette affaire, le règlement intérieur prévoyait « que les messageries électroniques des salariés ne pouvaient être consultées par la direction qu’en présence du salarié », ce qui empêche l’employeur de se prévaloir des règles de contrôle habituellement reconnues par la jurisprudence et donc, in fine, de mener des opérations de contrôle efficaces.