Comment va t-on autoriser ou non un employé à utiliser internet au bureau à des fins personnelles ?
Aujourd’hui, on estime que 90 à 95% des entreprises disposent d’une charte Internet.
Devant les tribunaux, celle-ci est en effet devenue l’assurance d’un impact juridique fort en cas de litige entre un salarié et l’entreprise.
Ainsi, les entreprises ont bien compris que la mise en place d’une charte Internet s’avère être fondamentale du point de vue de la responsabilisation :
- « Chacun est responsable du dommage qu’il a causé non seulement par son fait, mais encore par sa négligence ou par son imprudence » Article 1383 du Code Civil.
- « On est responsable non seulement du dommage que l’on cause par son propre fait, mais encore de celui qui est causé par le fait des personnes dont on doit répondre (…) les maîtres et les commettants du dommage causé par leurs domestiques et préposés dans les fonctions auxquelles ils les ont employés » Article 1384 du Code Civil.
- « Les personnes morales, à l’exclusion de l’Etat, sont responsables pénalement (….) des infractions commises, pour leur compte, par les organes dirigeants ou représentants » Article 121-2 du Code Pénal.
Qu’est-ce qu’une charte internet ?
La charte internet définit des règles concernant tous les usages liés au web : la navigation internet (depuis un poste fixe ou nomade), le courrier électronique, l’intranet… et implique l´ensemble des ressources informatiques mis à disposition des employés.
La charte internet doit informer et expliquer les enjeux liés à l’utilisation d’Internet.
La charte internet est-elle obligatoire ?
La charte Internet n’est obligatoire que dans un cas : lorsque l’entreprise utilise une solution qui permet de collecter des données à caractère personnel comme le filtrage d’url.
A partir du moment où la DSI peut savoir qui fait quoi où et à quel moment dans le but d’assurer la sécurité de son système d’information, une charte Internet doit être mis en place et porté à la connaissance des salariés.
A qui s’adresse la charte internet ?
Une charte internet s’applique à l’ensemble des employés de l’entreprise tous statuts confondus, et plus généralement à l’ensemble des personnes, permanentes ou temporaires, utilisant les moyens informatiques de l’entité.
Quel est l’objectif d’une charte internet ?
La mise en place d’une charte internet au sein d’une entreprise est aujourd’hui une prise de mesure indispensable, car elle permet de limiter la responsabilité pénale de l’employeur des actes de ses salariés qui sont dès lors, informés des risques qu’ils peuvent encourir dus à une utilisation inappropriée ou abusive du web dans un cadre professionnel.
Que doit contenir une charte internet ?
Une charte internet doit comprendre :
- Un préambule qui permet d’expliquer l’objet de la charte, ses raisons d’être afin de limiter les tensions et de permettre l’adhésion de l’ensemble des salariés à la charte.
Et doit également aborder les aspects suivants :
- La portée et l’opposabilité de la charte : qui la charte va‐t‐elle concerner ?
- Le champ d’application : comment va-t-on sanctionner une faute d’utilisation d’internet, un abus ?
- Les conditions d’utilisation : ce sont elles qui vont permettre de définir le moment où le collaborateur est en zone professionnelle ou personnelle de l’utilisation d’internet.
Il faut dans ce chapitre définir ce à quoi correspond la vie privée résiduelle de l’utilisateur, comment la définir et la mettre en oeuvre ?
L’espace de la vie privée résiduelle doit être un espace réservé à des choses admises socialement par tous (comme déclarer un accident à son assurance ou encore consulter ses comptes bancaires).
L’entreprise conserve ainsi un droit d’accès à cet espace afin de s’assurer d’une utilisation dite « normale » d’internet par l’utilisateur.
L’utilisateur est responsable de l’usage des ressources informatiques et du réseau auquel il a accès, l’utilisation doit donc être rationnelle et loyale.
Par ailleurs, l’employeur n’est pas en droit de consacrer l’utilisation d’internet par ses employés à des fins uniquement professionnelles, si le cas se présente, la charte n’est alors pas opposable aux utilisateurs. - Les conditions d’accès et d’identification pour expliquer l’importance d’un login et d’un mot de passe (également recommandé à travers les dix points clés de la sécurité édités par la CNIL en octobre dernier).
- La mobilité et la gestion des absences/des départs. Cet aspect est bien trop souvent négligé, or aujourd’hui, un employeur risque 5 ans d’emprisonnement et 300.000€ d’amende en cas de vol d’information à caractère personnel…
- Les dispositions mises en place pour assurer la protection des données à caractère personnel.
- La sécurité physique et informatique : chaque utilisateur doit s’engager à ne pas apporter volontairement des perturbations au bon fonctionnement des systèmes informatiques et des réseaux que ce soit par des manipulations anormales du matériel, ou par l’introduction de logiciels parasites (téléchargements inappropriés…)
- La politique de traçabilité et de filtrage mise en place afin d’expliquer notamment pourquoi il est nécessaire de mettre en place des solutions de sécurité et l’importance du filtrage.
- Les règles de conservation et de sauvegarde, selon le code de l’archivage pour une conservation des données légales.
- Les responsabilités de chacun des acteurs de l’entreprise et les sanctions prises à l’encontre des personnes qui ne respectent pas la charte internet. Les sanctions sont spécifiques à chaque type de charte.
- Les dérogations éventuelles : expliquer comment ces dérogations peuvent être mises en place, pour qui, pourquoi et dans quelles conditions ? (Exemple : en cas d’abus qui mettrait en péril l’entreprise ou le bon fonctionnement du SI, la DSI se réserve le droit de limiter l’accès de certains utilisateurs).
Quelles sont les règles à respecter pour la mise en vigueur d’une charte internet ?
La charte internet est une annexe au règlement intérieur qui doit s’inscrire dans la politique menée par les ressources humaines et parmi les règles de sécurité de l’entreprise afin d’être un véritable moyen de contrôle et une source de sanction, le tout mené avec une volonté de responsabilisation.
La valeur juridique d’une charte dépend de son mode de déploiement.
Pour être opposable aux salariés, la mise en place d’une charte Internet doit respecter plusieurs démarches, qui sont d’ailleurs les mêmes que celles du règlement intérieur :
- Respecter le principe de discussion collective du code du travail : la charte doit être soumise à l’avis du comité d’entreprise, ou comité paritaire pour les administrations, ainsi qu’à l’avis du comité d’hygiène et de sécurité
- Respecter le principe de transparence du code du travail : les salariés doivent être informés collectivement (afficher à un emplacement vu de tous) et individuellement (jointe à la fiche de paie)
- La charte doit être transmise à l’inspection du travail
- La charte doit être déposée au greffe du conseil des prud’hommes
Comment réussir l’application de la charte internet en entreprise ?
Afin d’assurer l’efficacité et l’adhésion de la charte auprès de tous, l’employeur doit mener une démarche bien précise qui passe tout d’abord par une prise de connaissance des risques, puis par l’apprentissage de la problématique et enfin par la responsabilisation des acteurs.
Il est important que les salariés soient correctement informés des raisons de l’application de cette charte pour que l’employeur obtienne l’adhésion du plus grand nombre.
Conclusion
Pour être valable, efficace et respectée, la charte internet doit être personnalisée.
En effet, l’utilisation d’Internet varie d’un secteur d’activité à un autre c’est pourquoi, la charte internet doit être basée sur les usages. Expliquer comment l’outil internet doit être utilisé dans l’entreprise sera toujours plus d’actualité que de lister ce qui est interdit ou ne l’est pas par technologie (ex : Twitter, Facebook …). En revanche, la charte internet peut être complétée par un guide utilisateur qui abordera les enjeux liés à différentes technologies Internet.
Néanmoins, si la charte représente un premier rempart contre les comportements illicites sur Internet, elle apparaît insuffisante au regard des diverses évolutions législatives et recommandations de la CNIL. La charte se révèle être un outil insuffisant notamment au regard des nouvelles lois telles que HADOPI ou LOPSSI. Pour répondre pertinemment aux exigences de ces lois, l’organisation doit également mettre en oeuvre des moyens techniques afin de s’assurer qu’aucun comportement illicite ne sera commis.
D’autre part pour compléter la Charte Internet, la CNIL recommande également la mise en œuvre d’outils de contrôle de l’accès à Internet pour répondre à des exigences de productivité et de sécurité. (Fiche numéro 7 du « Guide pour les employeurs et employés de la CNIL – 2009).