Catalogue Des Clauses D’Une Charte Informatique En France
Nom de la clause | Objectif | Niveau de criticité | Repères de conformité |
|---|---|---|---|
Accès et authentification | |||
Comptes utilisateurs nominatifs | Interdire les comptes partagés et assurer la traçabilité des actions. | Critique | Principe de sécurité du RGPD art. 32 recommandations CNIL sur l’authentification. |
Mots de passe robustes | Définir les règles de création, stockage et renouvellement des secrets. | Critique | RGPD art. 32 recommandation CNIL sur les mots de passe. |
Authentification multifacteur | Imposer un second facteur pour les accès sensibles ou distants. | Critique | Mesures de sécurité adaptées au risque guides ANSSI et CNIL. |
Moindre privilège | Limiter chaque accès aux seules ressources nécessaires. | Critique | Minimisation et sécurité des accès RGPD art. 5 et 32. |
Revue des habilitations | Vérifier régulièrement que les droits restent justifiés. | Élevé | Responsabilisation et sécurité du traitement RGPD art. 24 et 32. |
Révocation des accès | Supprimer ou modifier les droits dès le départ ou la mobilité. | Critique | Sécurité des accès obligation de confidentialité post-contractuelle possible. |
Comptes administrateurs | Encadrer les privilèges élevés et séparer usage courant et administration. | Critique | Mesures techniques appropriées guides ANSSI d’administration sécurisée. |
Sécurité des équipements | |||
Accès physiques aux locaux SI | Restreindre les accès aux salles, baies et équipements critiques. | Élevé | Sécurité physique et logique des traitements RGPD art. 32. |
Verrouillage de session | Imposer le verrouillage automatique ou manuel en cas d’absence. | Élevé | Mesure de protection contre l’accès non autorisé RGPD art. 32. |
Mises à jour et correctifs | Rendre obligatoires les correctifs de sécurité logiciels et systèmes. | Critique | Sécurité dès la conception et maintenance RGPD art. 25 et 32. |
Protection antimalware | Maintenir les protections actives contre virus, rançongiciels et malwares. | Critique | Mesures techniques appropriées au risque RGPD art. 32. |
Supports amovibles | Encadrer clés USB, disques externes et supports chiffrés. | Élevé | Protection contre perte, divulgation ou malware RGPD art. 32. |
Chiffrement des terminaux | Protéger les données en cas de perte ou vol d’équipement. | Critique | Chiffrement cité parmi les mesures possibles RGPD art. 32. |
Télétravail sécurisé | Fixer les règles d’usage SI hors des locaux de l’entreprise. | Élevé | Accord ou charte télétravail Code du travail art. L1222-9. |
Accès et authentification | |||
Accès distant par VPN | Exiger des canaux sécurisés pour les connexions externes. | Critique | Sécurisation des communications RGPD art. 32 recommandations ANSSI. |
Sécurité des équipements | |||
BYOD et appareils personnels | Encadrer l’usage professionnel des équipements personnels. | Élevé | Séparation usages privé et professionnel sécurité et information des personnes. |
Installation de logiciels | Interdire les logiciels non autorisés ou non licenciés. | Élevé | Gestion du parc et licences risque contrefaçon du Code de la propriété intellectuelle. |
Inventaire des équipements | Maintenir une liste fiable des actifs confiés aux utilisateurs. | Moyen | Responsabilisation, sécurité et gestion des actifs. |
Restitution du matériel | Organiser la restitution des équipements, badges et supports. | Élevé | Obligations contractuelles, protection du patrimoine et des données. |
Messagerie et communications | |||
Usage de la messagerie | Définir les usages autorisés de la messagerie professionnelle. | Élevé | Vie privée au travail et information des salariés Code du travail L1121-1. |
Messages identifiés personnels | Préciser le traitement des messages marqués personnels. | Critique | Respect de la vie privée jurisprudence Nikon secret des correspondances. |
Pièces jointes et liens | Réduire les risques de phishing, malware et fraude. | Critique | Sensibilisation et sécurité opérationnelle bonnes pratiques cyber françaises. |
Listes de diffusion | Éviter les envois massifs inappropriés et divulgations d’adresses. | Moyen | Minimisation des destinataires confidentialité des données de contact. |
Signature électronique d’email | Normaliser les mentions, avertissements et identité de l’émetteur. | Faible | Identification professionnelle, confidentialité et mentions internes. |
Messagerie instantanée | Encadrer les échanges via chat, collaboration et canaux d’équipe. | Moyen | Information des salariés, conservation et confidentialité des échanges. |
Visioconférence | Sécuriser réunions, enregistrements et partage d’écran. | Moyen | Information des participants, confidentialité et sécurité des échanges. |
Enregistrement des réunions | Soumettre tout enregistrement à une finalité et information préalables. | Élevé | RGPD : transparence, finalité, durée de conservation et droits des personnes. |
Internet et outils numériques | |||
Navigation internet | Définir les usages web autorisés, tolérés ou interdits. | Élevé | Proportionnalité des restrictions Code du travail L1121-1. |
Filtrage web | Bloquer sites illicites, dangereux ou incompatibles avec l’activité. | Élevé | Contrôle proportionné, information préalable et finalités déterminées. |
Téléchargements | Interdire contenus illicites, piratés ou à risque de malware. | Élevé | Contrefaçon, sécurité SI et respect des licences logicielles. |
Réseaux sociaux | Prévenir divulgations, atteintes à l’image et confusion des rôles. | Moyen | Liberté d’expression, loyauté, confidentialité et droit à l’image. |
Services cloud autorisés | Interdire le stockage professionnel sur services cloud non validés. | Critique | Sous-traitance, transferts hors UE et sécurité RGPD art. 28, 32, 44 s. |
IA générative | Encadrer saisie de données, validation humaine et confidentialité. | Élevé | RGPD, confidentialité, propriété intellectuelle et règlement européen IA. |
Applications SaaS | Soumettre tout outil SaaS à validation sécurité, juridique et achats. | Élevé | Qualification responsable/sous-traitant clauses RGPD art. 28. |
Partage de fichiers | Limiter les liens publics, droits excessifs et durées de partage. | Élevé | Confidentialité, minimisation des accès et sécurité RGPD art. 32. |
Contenus illicites ou offensants | Interdire consultation, stockage ou diffusion de contenus illicites. | Critique | Code pénal : discriminations, harcèlement, contenus pédopornographiques, atteintes aux personnes. |
Données personnelles | |||
Traitement des données personnelles | Rappeler les règles applicables à toute donnée personnelle traitée. | Critique | RGPD loi Informatique et Libertés modifiée. |
Minimisation des données | Limiter les données collectées aux besoins professionnels justifiés. | Élevé | Principe de minimisation RGPD art. 5. |
Données sensibles | Interdire ou encadrer strictement le traitement de données sensibles. | Critique | Catégories particulières de données RGPD art. 9. |
Finalités et bases légales | Exiger une finalité déterminée et une base légale avant traitement. | Critique | Licéité, loyauté, transparence RGPD art. 5 et 6. |
Durées de conservation | Fixer des durées de conservation limitées et justifiées. | Élevé | Limitation de conservation RGPD art. 5. |
Droits des personnes | Informer sur accès, rectification, opposition, effacement et limitation. | Élevé | Droits des personnes concernées RGPD art. 12 à 22. |
Violation de données | Organiser l’alerte interne en cas de perte, fuite ou altération. | Critique | Notification CNIL sous 72 h si risque RGPD art. 33 et 34. |
Registre des traitements | Rattacher les usages SI aux traitements documentés par l’organisation. | Moyen | Registre des activités de traitement RGPD art. 30. |
Transferts hors UE | Encadrer tout transfert de données personnelles hors EEE. | Critique | Encadrement des transferts internationaux RGPD art. 44 à 49. |
Confidentialité | |||
Confidentialité des informations | Protéger les informations internes, clients, partenaires et projets. | Critique | Obligation de loyauté, secret des affaires et clauses contractuelles. |
Secret des affaires | Protéger les informations ayant une valeur économique confidentielle. | Élevé | Code de commerce L151-1 s. sur la protection du secret des affaires. |
Classification de l’information | Définir niveaux public, interne, confidentiel et strictement confidentiel. | Élevé | Mesure organisationnelle de sécurité et de maîtrise des accès. |
Bureau propre et écran propre | Réduire l’exposition visuelle ou physique des informations sensibles. | Moyen | Mesures organisationnelles de confidentialité et sécurité physique. |
Impression et numérisation | Limiter impressions sensibles et récupérer immédiatement les documents. | Moyen | Confidentialité, minimisation des copies et protection des données. |
Destruction sécurisée | Effacer ou détruire supports et documents selon leur sensibilité. | Élevé | Limitation de conservation, confidentialité et sécurité RGPD art. 5 et 32. |
Transmission externe d’informations | Soumettre les envois externes sensibles à autorisation et protection. | Critique | Confidentialité contractuelle, secret des affaires et RGPD selon données. |
Contrôle et supervision | |||
Journalisation des accès | Tracer les accès et actions pour sécurité et preuve. | Critique | Logs proportionnés, sécurité RGPD art. 32 et information des salariés. |
Conservation des journaux | Fixer une durée limitée de conservation des traces techniques. | Élevé | Limitation de conservation RGPD art. 5 proportionnalité CNIL. |
Information préalable des utilisateurs | Informer sur règles, contrôles, finalités et droits. | Critique | Code du travail L1222-4 transparence RGPD art. 12 à 14. |
Consultation du CSE | Prévoir la consultation sur moyens de contrôle de l’activité. | Élevé | Code du travail L2312-38 sur les techniques de contrôle de l’activité. |
Proportionnalité des contrôles | Limiter les contrôles à ce qui est justifié par la finalité. | Critique | Code du travail L1121-1 RGPD art. 5 et 25. |
Accès aux fichiers professionnels | Définir les conditions d’accès aux fichiers de l’utilisateur. | Critique | Fichiers présumés professionnels sauf identification personnelle vie privée au travail. |
Supervision réseau et sécurité | Détecter intrusions, anomalies, malwares et exfiltrations. | Critique | Sécurité RGPD art. 32 finalité sécurité et accès restreint aux alertes. |
Prévention des fuites de données | Encadrer DLP, blocages d’envoi et alertes de confidentialité. | Élevé | Contrôle proportionné, information préalable et sécurité des données. |
Audits de sécurité | Permettre audits, tests et vérifications encadrés des systèmes. | Élevé | Accountability, sécurité continue et preuve de conformité. |
Sanctions et responsabilités | |||
Signalement d’incident | Imposer une alerte rapide en cas d’incident ou suspicion. | Critique | Gestion d’incident notification des violations RGPD art. 33 et 34. |
Responsabilités de l’utilisateur | Rappeler les devoirs de prudence, loyauté et respect des règles. | Élevé | Exécution loyale du contrat de travail Code du travail L1222-1. |
Sanctions disciplinaires | Prévoir les conséquences disciplinaires d’un manquement à la charte. | Critique | Règlement intérieur et procédure disciplinaire Code du travail L1321-1 s. |
Opposabilité de la charte | Préciser diffusion, acceptation et rattachement au règlement intérieur. | Critique | Si elle fixe discipline ou sanctions, intégration au règlement intérieur selon Code du travail. |
Infractions informatiques | Rappeler l’interdiction d’accès frauduleux ou d’entrave aux systèmes. | Critique | Code pénal art. 323-1 s. sur les atteintes aux systèmes de traitement automatisé. |
Contrôle et supervision | |||
Preuve numérique | Encadrer collecte et conservation des éléments de preuve SI. | Élevé | Preuve électronique Code civil art. 1366 et loyauté de la preuve au travail. |
Internet et outils numériques | |||
Licences et droits d’auteur | Interdire copie, usage ou diffusion non autorisés d’œuvres et logiciels. | Élevé | Code de la propriété intellectuelle risques de contrefaçon. |
Messagerie et communications | |||
Communications abusives | Interdire propos injurieux, discriminatoires, menaçants ou harcelants. | Critique | Harcèlement moral ou sexuel, discrimination et obligations de sécurité de l’employeur. |
Sécurité des équipements | |||
Sauvegardes | Organiser les sauvegardes et interdire le contournement des mécanismes. | Critique | Disponibilité et résilience des systèmes RGPD art. 32. |
Continuité d’activité SI | Prévoir les comportements attendus en cas d’indisponibilité SI. | Élevé | Résilience et restauration de disponibilité RGPD art. 32. |
Accès et authentification | |||
Accès des prestataires | Encadrer les accès tiers, comptes temporaires et engagements contractuels. | Critique | Sous-traitance RGPD art. 28 confidentialité et sécurité contractuelles. |
Données personnelles | |||
Environnements de test | Limiter ou anonymiser les données réelles en test et recette. | Élevé | Minimisation, privacy by design et sécurité RGPD art. 5, 25, 32. |
Anonymisation et pseudonymisation | Réduire les risques lors d’analyses, exports ou tests. | Moyen | Pseudonymisation citée par RGPD art. 32 anonymisation hors RGPD si irréversible. |
Exports de données | Soumettre les extractions de bases à autorisation et traçabilité. | Critique | Minimisation, habilitations, traçabilité et sécurité RGPD art. 5 et 32. |
Sécurité des équipements | |||
Nomadisme numérique | Sécuriser déplacements, Wi-Fi public, confidentialité visuelle et stockage local. | Élevé | Recommandations ANSSI sur le nomadisme sécurité des données. |
Réseaux Wi-Fi | Encadrer Wi-Fi invité, professionnel, mots de passe et chiffrement. | Élevé | Sécurisation des réseaux et segmentation RGPD art. 32. |
Internet et outils numériques | |||
Wi-Fi invité | Isoler les invités du réseau interne et tracer les accès nécessaires. | Moyen | Séparation réseau, sécurité et information des utilisateurs invités. |
Accès et authentification | |||
Secrets techniques et clés API | Protéger clés API, certificats, jetons et secrets applicatifs. | Critique | Gestion des secrets, chiffrement et restriction d’accès RGPD art. 32. |
Sanctions et responsabilités | |||
Contournement des sécurités | Interdire désactivation des protections, proxies non autorisés et jailbreak. | Critique | Obligation de sécurité, discipline interne et atteintes possibles aux STAD. |
Signalement de vulnérabilité | Orienter la remontée interne de failles sans exploitation non autorisée. | Élevé | Accès non autorisé interdit Code pénal art. 323-1 s. |
Données personnelles | |||
Archivage électronique | Distinguer conservation courante, archivage intermédiaire et suppression. | Moyen | Durées légales, preuve, limitation de conservation et accès restreint. |
Confidentialité | |||
Engagement des administrateurs | Imposer confidentialité renforcée et traçabilité aux administrateurs SI. | Critique | Accès privilégiés, secret professionnel éventuel et sécurité ANSSI. |
Contrôle et supervision | |||
Captures écran et surveillance renforcée | Limiter les dispositifs intrusifs aux cas strictement justifiés. | Critique | Surveillance permanente généralement disproportionnée information et proportionnalité. |
Géolocalisation des équipements | Encadrer la localisation des terminaux ou véhicules professionnels. | Élevé | Finalité légitime, information, proportionnalité et droits d’opposition selon CNIL. |
Internet et outils numériques | |||
Usage personnel raisonnable | Tolérer un usage privé limité s’il ne nuit pas au travail ni à la sécurité. | Moyen | Respect de la vie privée au travail et pouvoir de direction proportionné. |
Messagerie et communications | |||
Messageries personnelles | Interdire l’envoi de données professionnelles via messageries privées. | Élevé | Confidentialité, maîtrise des traitements et transferts potentiels hors UE. |
Conservation des emails | Définir archivage, suppression et quotas des boîtes mail. | Moyen | Durées proportionnées, preuve, obligations légales et RGPD art. 5. |
Délégation de boîte mail | Encadrer délégations, absences et accès aux boîtes partagées. | Élevé | Accès proportionné, information préalable et respect des messages personnels. |
Sanctions et responsabilités | |||
Exigences NIS 2 | Prévoir des règles renforcées pour entités essentielles ou importantes. | Élevé | Directive NIS 2 : gestion des risques cyber et notification d’incidents. |
Sensibilisation cybersécurité | Rendre obligatoires les formations et rappels sur les risques SI. | Élevé | Mesure organisationnelle de sécurité accountability RGPD et bonnes pratiques ANSSI/Cybermalveillance. |
Sécurité des équipements | |||
Smartphones et tablettes | Imposer verrouillage, chiffrement, MDM et effacement à distance. | Élevé | Sécurité des terminaux mobiles et séparation des usages. |
Quelles Clauses Faut-Il Prioriser Dans Une Charte Informatique En France ?
Les clauses les plus critiques sont celles qui encadrent l’authentification, les droits d’accès, la sécurité des postes, les données personnelles, la confidentialité et les contrôles. En France, leur rédaction doit articuler les exigences du RGPD, de la loi Informatique et Libertés, du Code du travail et, pour certains acteurs, des règles de cybersécurité comme NIS 2.
Pourquoi La Charte Doit-Elle Être Compatible Avec Le Droit Du Travail ?
Une charte opposable aux salariés doit être cohérente avec le règlement intérieur lorsqu’elle prévoit des obligations disciplinaires ou des sanctions. Les dispositifs de contrôle doivent être proportionnés, portés à la connaissance des salariés et, lorsque nécessaire, précédés des formalités internes d’information-consultation.
Comment Encadrer Les Contrôles Sans Porter Atteinte À La Vie Privée ?
Les clauses de journalisation, filtrage web, supervision, DLP ou accès administrateur doivent préciser les finalités, les données concernées, les durées de conservation, les personnes habilitées et les droits des utilisateurs. Les fichiers et messages identifiés comme personnels bénéficient d’une protection renforcée en jurisprudence française.
Quelles Clauses Réduisent Le Plus Le Risque Cyber ?
- MFA, mots de passe, comptes nominatifs et révocation des accès : réduisent les compromissions de comptes.
- BYOD, télétravail, VPN, chiffrement et mises à jour : sécurisent les usages hors site.
- Phishing, pièces jointes, messagerie et cloud autorisé : limitent les vecteurs d’intrusion les plus courants.
- Incident, notification, preuves numériques et conservation des logs : facilitent la réaction rapide et documentée.
Quelles Références Utiliser Pour Rédiger Une Charte Informatique Française ?
Les repères clés sont le guide cybersécurité de la CNIL, le dossier CNIL sur les outils informatiques au travail, le Code du travail, le Code pénal, le RGPD et, selon le secteur, les textes relatifs à la sécurité des réseaux et systèmes d’information.
