Docaro

Catalogue Des Clauses D’Une Charte Informatique En France

Créé:
Ce catalogue aide à identifier les clauses clés d’une charte informatique et à comprendre leur utilité en contexte français. Il complète la page Charte d'utilisation des systèmes d'information générée par IA pour une utilisation en France.
Nom de la clause
Objectif
Niveau de criticité
Repères de conformité
Accès et authentification
Comptes utilisateurs nominatifs
Interdire les comptes partagés et assurer la traçabilité des actions.
Critique
Principe de sécurité du RGPD art. 32
recommandations CNIL sur l’authentification.
Mots de passe robustes
Définir les règles de création, stockage et renouvellement des secrets.
Critique
RGPD art. 32
recommandation CNIL sur les mots de passe.
Authentification multifacteur
Imposer un second facteur pour les accès sensibles ou distants.
Critique
Mesures de sécurité adaptées au risque
guides ANSSI et CNIL.
Moindre privilège
Limiter chaque accès aux seules ressources nécessaires.
Critique
Minimisation et sécurité des accès
RGPD art. 5 et 32.
Revue des habilitations
Vérifier régulièrement que les droits restent justifiés.
Élevé
Responsabilisation et sécurité du traitement
RGPD art. 24 et 32.
Révocation des accès
Supprimer ou modifier les droits dès le départ ou la mobilité.
Critique
Sécurité des accès
obligation de confidentialité post-contractuelle possible.
Comptes administrateurs
Encadrer les privilèges élevés et séparer usage courant et administration.
Critique
Mesures techniques appropriées
guides ANSSI d’administration sécurisée.
Sécurité des équipements
Accès physiques aux locaux SI
Restreindre les accès aux salles, baies et équipements critiques.
Élevé
Sécurité physique et logique des traitements
RGPD art. 32.
Verrouillage de session
Imposer le verrouillage automatique ou manuel en cas d’absence.
Élevé
Mesure de protection contre l’accès non autorisé
RGPD art. 32.
Mises à jour et correctifs
Rendre obligatoires les correctifs de sécurité logiciels et systèmes.
Critique
Sécurité dès la conception et maintenance
RGPD art. 25 et 32.
Protection antimalware
Maintenir les protections actives contre virus, rançongiciels et malwares.
Critique
Mesures techniques appropriées au risque
RGPD art. 32.
Supports amovibles
Encadrer clés USB, disques externes et supports chiffrés.
Élevé
Protection contre perte, divulgation ou malware
RGPD art. 32.
Chiffrement des terminaux
Protéger les données en cas de perte ou vol d’équipement.
Critique
Chiffrement cité parmi les mesures possibles
RGPD art. 32.
Télétravail sécurisé
Fixer les règles d’usage SI hors des locaux de l’entreprise.
Élevé
Accord ou charte télétravail
Code du travail art. L1222-9.
Accès et authentification
Accès distant par VPN
Exiger des canaux sécurisés pour les connexions externes.
Critique
Sécurisation des communications
RGPD art. 32
recommandations ANSSI.
Sécurité des équipements
BYOD et appareils personnels
Encadrer l’usage professionnel des équipements personnels.
Élevé
Séparation usages privé et professionnel
sécurité et information des personnes.
Installation de logiciels
Interdire les logiciels non autorisés ou non licenciés.
Élevé
Gestion du parc et licences
risque contrefaçon du Code de la propriété intellectuelle.
Inventaire des équipements
Maintenir une liste fiable des actifs confiés aux utilisateurs.
Moyen
Responsabilisation, sécurité et gestion des actifs.
Restitution du matériel
Organiser la restitution des équipements, badges et supports.
Élevé
Obligations contractuelles, protection du patrimoine et des données.
Messagerie et communications
Usage de la messagerie
Définir les usages autorisés de la messagerie professionnelle.
Élevé
Vie privée au travail et information des salariés
Code du travail L1121-1.
Messages identifiés personnels
Préciser le traitement des messages marqués personnels.
Critique
Respect de la vie privée
jurisprudence Nikon
secret des correspondances.
Pièces jointes et liens
Réduire les risques de phishing, malware et fraude.
Critique
Sensibilisation et sécurité opérationnelle
bonnes pratiques cyber françaises.
Listes de diffusion
Éviter les envois massifs inappropriés et divulgations d’adresses.
Moyen
Minimisation des destinataires
confidentialité des données de contact.
Signature électronique d’email
Normaliser les mentions, avertissements et identité de l’émetteur.
Faible
Identification professionnelle, confidentialité et mentions internes.
Messagerie instantanée
Encadrer les échanges via chat, collaboration et canaux d’équipe.
Moyen
Information des salariés, conservation et confidentialité des échanges.
Visioconférence
Sécuriser réunions, enregistrements et partage d’écran.
Moyen
Information des participants, confidentialité et sécurité des échanges.
Enregistrement des réunions
Soumettre tout enregistrement à une finalité et information préalables.
Élevé
RGPD : transparence, finalité, durée de conservation et droits des personnes.
Internet et outils numériques
Navigation internet
Définir les usages web autorisés, tolérés ou interdits.
Élevé
Proportionnalité des restrictions
Code du travail L1121-1.
Filtrage web
Bloquer sites illicites, dangereux ou incompatibles avec l’activité.
Élevé
Contrôle proportionné, information préalable et finalités déterminées.
Téléchargements
Interdire contenus illicites, piratés ou à risque de malware.
Élevé
Contrefaçon, sécurité SI et respect des licences logicielles.
Réseaux sociaux
Prévenir divulgations, atteintes à l’image et confusion des rôles.
Moyen
Liberté d’expression, loyauté, confidentialité et droit à l’image.
Services cloud autorisés
Interdire le stockage professionnel sur services cloud non validés.
Critique
Sous-traitance, transferts hors UE et sécurité
RGPD art. 28, 32, 44 s.
IA générative
Encadrer saisie de données, validation humaine et confidentialité.
Élevé
RGPD, confidentialité, propriété intellectuelle et règlement européen IA.
Applications SaaS
Soumettre tout outil SaaS à validation sécurité, juridique et achats.
Élevé
Qualification responsable/sous-traitant
clauses RGPD art. 28.
Partage de fichiers
Limiter les liens publics, droits excessifs et durées de partage.
Élevé
Confidentialité, minimisation des accès et sécurité RGPD art. 32.
Contenus illicites ou offensants
Interdire consultation, stockage ou diffusion de contenus illicites.
Critique
Code pénal : discriminations, harcèlement, contenus pédopornographiques, atteintes aux personnes.
Données personnelles
Traitement des données personnelles
Rappeler les règles applicables à toute donnée personnelle traitée.
Critique
RGPD
loi Informatique et Libertés modifiée.
Minimisation des données
Limiter les données collectées aux besoins professionnels justifiés.
Élevé
Principe de minimisation
RGPD art. 5.
Données sensibles
Interdire ou encadrer strictement le traitement de données sensibles.
Critique
Catégories particulières de données
RGPD art. 9.
Finalités et bases légales
Exiger une finalité déterminée et une base légale avant traitement.
Critique
Licéité, loyauté, transparence
RGPD art. 5 et 6.
Durées de conservation
Fixer des durées de conservation limitées et justifiées.
Élevé
Limitation de conservation
RGPD art. 5.
Droits des personnes
Informer sur accès, rectification, opposition, effacement et limitation.
Élevé
Droits des personnes concernées
RGPD art. 12 à 22.
Violation de données
Organiser l’alerte interne en cas de perte, fuite ou altération.
Critique
Notification CNIL sous 72 h si risque
RGPD art. 33 et 34.
Registre des traitements
Rattacher les usages SI aux traitements documentés par l’organisation.
Moyen
Registre des activités de traitement
RGPD art. 30.
Transferts hors UE
Encadrer tout transfert de données personnelles hors EEE.
Critique
Encadrement des transferts internationaux
RGPD art. 44 à 49.
Confidentialité
Confidentialité des informations
Protéger les informations internes, clients, partenaires et projets.
Critique
Obligation de loyauté, secret des affaires et clauses contractuelles.
Secret des affaires
Protéger les informations ayant une valeur économique confidentielle.
Élevé
Code de commerce L151-1 s. sur la protection du secret des affaires.
Classification de l’information
Définir niveaux public, interne, confidentiel et strictement confidentiel.
Élevé
Mesure organisationnelle de sécurité et de maîtrise des accès.
Bureau propre et écran propre
Réduire l’exposition visuelle ou physique des informations sensibles.
Moyen
Mesures organisationnelles de confidentialité et sécurité physique.
Impression et numérisation
Limiter impressions sensibles et récupérer immédiatement les documents.
Moyen
Confidentialité, minimisation des copies et protection des données.
Destruction sécurisée
Effacer ou détruire supports et documents selon leur sensibilité.
Élevé
Limitation de conservation, confidentialité et sécurité RGPD art. 5 et 32.
Transmission externe d’informations
Soumettre les envois externes sensibles à autorisation et protection.
Critique
Confidentialité contractuelle, secret des affaires et RGPD selon données.
Contrôle et supervision
Journalisation des accès
Tracer les accès et actions pour sécurité et preuve.
Critique
Logs proportionnés, sécurité RGPD art. 32 et information des salariés.
Conservation des journaux
Fixer une durée limitée de conservation des traces techniques.
Élevé
Limitation de conservation RGPD art. 5
proportionnalité CNIL.
Information préalable des utilisateurs
Informer sur règles, contrôles, finalités et droits.
Critique
Code du travail L1222-4
transparence RGPD art. 12 à 14.
Consultation du CSE
Prévoir la consultation sur moyens de contrôle de l’activité.
Élevé
Code du travail L2312-38 sur les techniques de contrôle de l’activité.
Proportionnalité des contrôles
Limiter les contrôles à ce qui est justifié par la finalité.
Critique
Code du travail L1121-1
RGPD art. 5 et 25.
Accès aux fichiers professionnels
Définir les conditions d’accès aux fichiers de l’utilisateur.
Critique
Fichiers présumés professionnels sauf identification personnelle
vie privée au travail.
Supervision réseau et sécurité
Détecter intrusions, anomalies, malwares et exfiltrations.
Critique
Sécurité RGPD art. 32
finalité sécurité et accès restreint aux alertes.
Prévention des fuites de données
Encadrer DLP, blocages d’envoi et alertes de confidentialité.
Élevé
Contrôle proportionné, information préalable et sécurité des données.
Audits de sécurité
Permettre audits, tests et vérifications encadrés des systèmes.
Élevé
Accountability, sécurité continue et preuve de conformité.
Sanctions et responsabilités
Signalement d’incident
Imposer une alerte rapide en cas d’incident ou suspicion.
Critique
Gestion d’incident
notification des violations RGPD art. 33 et 34.
Responsabilités de l’utilisateur
Rappeler les devoirs de prudence, loyauté et respect des règles.
Élevé
Exécution loyale du contrat de travail
Code du travail L1222-1.
Sanctions disciplinaires
Prévoir les conséquences disciplinaires d’un manquement à la charte.
Critique
Règlement intérieur et procédure disciplinaire
Code du travail L1321-1 s.
Opposabilité de la charte
Préciser diffusion, acceptation et rattachement au règlement intérieur.
Critique
Si elle fixe discipline ou sanctions, intégration au règlement intérieur selon Code du travail.
Infractions informatiques
Rappeler l’interdiction d’accès frauduleux ou d’entrave aux systèmes.
Critique
Code pénal art. 323-1 s. sur les atteintes aux systèmes de traitement automatisé.
Contrôle et supervision
Preuve numérique
Encadrer collecte et conservation des éléments de preuve SI.
Élevé
Preuve électronique
Code civil art. 1366 et loyauté de la preuve au travail.
Internet et outils numériques
Licences et droits d’auteur
Interdire copie, usage ou diffusion non autorisés d’œuvres et logiciels.
Élevé
Code de la propriété intellectuelle
risques de contrefaçon.
Messagerie et communications
Communications abusives
Interdire propos injurieux, discriminatoires, menaçants ou harcelants.
Critique
Harcèlement moral ou sexuel, discrimination et obligations de sécurité de l’employeur.
Sécurité des équipements
Sauvegardes
Organiser les sauvegardes et interdire le contournement des mécanismes.
Critique
Disponibilité et résilience des systèmes
RGPD art. 32.
Continuité d’activité SI
Prévoir les comportements attendus en cas d’indisponibilité SI.
Élevé
Résilience et restauration de disponibilité
RGPD art. 32.
Accès et authentification
Accès des prestataires
Encadrer les accès tiers, comptes temporaires et engagements contractuels.
Critique
Sous-traitance RGPD art. 28
confidentialité et sécurité contractuelles.
Données personnelles
Environnements de test
Limiter ou anonymiser les données réelles en test et recette.
Élevé
Minimisation, privacy by design et sécurité RGPD art. 5, 25, 32.
Anonymisation et pseudonymisation
Réduire les risques lors d’analyses, exports ou tests.
Moyen
Pseudonymisation citée par RGPD art. 32
anonymisation hors RGPD si irréversible.
Exports de données
Soumettre les extractions de bases à autorisation et traçabilité.
Critique
Minimisation, habilitations, traçabilité et sécurité RGPD art. 5 et 32.
Sécurité des équipements
Nomadisme numérique
Sécuriser déplacements, Wi-Fi public, confidentialité visuelle et stockage local.
Élevé
Recommandations ANSSI sur le nomadisme
sécurité des données.
Réseaux Wi-Fi
Encadrer Wi-Fi invité, professionnel, mots de passe et chiffrement.
Élevé
Sécurisation des réseaux et segmentation
RGPD art. 32.
Internet et outils numériques
Wi-Fi invité
Isoler les invités du réseau interne et tracer les accès nécessaires.
Moyen
Séparation réseau, sécurité et information des utilisateurs invités.
Accès et authentification
Secrets techniques et clés API
Protéger clés API, certificats, jetons et secrets applicatifs.
Critique
Gestion des secrets, chiffrement et restriction d’accès
RGPD art. 32.
Sanctions et responsabilités
Contournement des sécurités
Interdire désactivation des protections, proxies non autorisés et jailbreak.
Critique
Obligation de sécurité, discipline interne et atteintes possibles aux STAD.
Signalement de vulnérabilité
Orienter la remontée interne de failles sans exploitation non autorisée.
Élevé
Accès non autorisé interdit
Code pénal art. 323-1 s.
Données personnelles
Archivage électronique
Distinguer conservation courante, archivage intermédiaire et suppression.
Moyen
Durées légales, preuve, limitation de conservation et accès restreint.
Confidentialité
Engagement des administrateurs
Imposer confidentialité renforcée et traçabilité aux administrateurs SI.
Critique
Accès privilégiés, secret professionnel éventuel et sécurité ANSSI.
Contrôle et supervision
Captures écran et surveillance renforcée
Limiter les dispositifs intrusifs aux cas strictement justifiés.
Critique
Surveillance permanente généralement disproportionnée
information et proportionnalité.
Géolocalisation des équipements
Encadrer la localisation des terminaux ou véhicules professionnels.
Élevé
Finalité légitime, information, proportionnalité et droits d’opposition selon CNIL.
Internet et outils numériques
Usage personnel raisonnable
Tolérer un usage privé limité s’il ne nuit pas au travail ni à la sécurité.
Moyen
Respect de la vie privée au travail et pouvoir de direction proportionné.
Messagerie et communications
Messageries personnelles
Interdire l’envoi de données professionnelles via messageries privées.
Élevé
Confidentialité, maîtrise des traitements et transferts potentiels hors UE.
Conservation des emails
Définir archivage, suppression et quotas des boîtes mail.
Moyen
Durées proportionnées, preuve, obligations légales et RGPD art. 5.
Délégation de boîte mail
Encadrer délégations, absences et accès aux boîtes partagées.
Élevé
Accès proportionné, information préalable et respect des messages personnels.
Sanctions et responsabilités
Exigences NIS 2
Prévoir des règles renforcées pour entités essentielles ou importantes.
Élevé
Directive NIS 2 : gestion des risques cyber et notification d’incidents.
Sensibilisation cybersécurité
Rendre obligatoires les formations et rappels sur les risques SI.
Élevé
Mesure organisationnelle de sécurité
accountability RGPD et bonnes pratiques ANSSI/Cybermalveillance.
Sécurité des équipements
Smartphones et tablettes
Imposer verrouillage, chiffrement, MDM et effacement à distance.
Élevé
Sécurité des terminaux mobiles et séparation des usages.

Quelles Clauses Faut-Il Prioriser Dans Une Charte Informatique En France ?

Les clauses les plus critiques sont celles qui encadrent l’authentification, les droits d’accès, la sécurité des postes, les données personnelles, la confidentialité et les contrôles. En France, leur rédaction doit articuler les exigences du RGPD, de la loi Informatique et Libertés, du Code du travail et, pour certains acteurs, des règles de cybersécurité comme NIS 2.

Pourquoi La Charte Doit-Elle Être Compatible Avec Le Droit Du Travail ?

Une charte opposable aux salariés doit être cohérente avec le règlement intérieur lorsqu’elle prévoit des obligations disciplinaires ou des sanctions. Les dispositifs de contrôle doivent être proportionnés, portés à la connaissance des salariés et, lorsque nécessaire, précédés des formalités internes d’information-consultation.

Comment Encadrer Les Contrôles Sans Porter Atteinte À La Vie Privée ?

Les clauses de journalisation, filtrage web, supervision, DLP ou accès administrateur doivent préciser les finalités, les données concernées, les durées de conservation, les personnes habilitées et les droits des utilisateurs. Les fichiers et messages identifiés comme personnels bénéficient d’une protection renforcée en jurisprudence française.

Quelles Clauses Réduisent Le Plus Le Risque Cyber ?

  • MFA, mots de passe, comptes nominatifs et révocation des accès : réduisent les compromissions de comptes.
  • BYOD, télétravail, VPN, chiffrement et mises à jour : sécurisent les usages hors site.
  • Phishing, pièces jointes, messagerie et cloud autorisé : limitent les vecteurs d’intrusion les plus courants.
  • Incident, notification, preuves numériques et conservation des logs : facilitent la réaction rapide et documentée.

Quelles Références Utiliser Pour Rédiger Une Charte Informatique Française ?

Les repères clés sont le guide cybersécurité de la CNIL, le dossier CNIL sur les outils informatiques au travail, le Code du travail, le Code pénal, le RGPD et, selon le secteur, les textes relatifs à la sécurité des réseaux et systèmes d’information.

Catalogue des clauses d\u2019une charte informatique
Voulez-vous générer votre propre Charte d'utilisation des systèmes d'information ?
Docaro AI peut vous aider à rédiger votre propre Charte d'utilisation des systèmes d'information à utiliser dans la France en quelques minutes.
Générez Votre Document Maintenant

FAQs

C’est un répertoire structuré de clauses types à intégrer dans une charte informatique française, notamment sur l’usage des outils numériques, la sécurité, la messagerie, Internet et les contrôles internes.
Afficher toutes les FAQ

Références et sources d'information