Charte d'Utilisation Informatique (Bonnes Pratiques) France

La charte d'utilisation informatique est, en droit français, le document qui définit les règles d'usage des systèmes d'information par les salariés, fondé sur l'article L1121-1 du Code du travail et la délibération CNIL n°2018-303.

La Charte d'Utilisation Informatique en France repose sur deux fondements complémentaires : d'une part, la protection des intérêts légitimes de l'entreprise (sécurité des systèmes d'information, confidentialité des données clients et stratégiques, conformité au Règlement Général sur la Protection des Données — RGPD, Règlement UE n°2016/679) ; d'autre part, la protection des droits des salariés, en particulier leur droit au respect de la vie privée sur le lieu de travail. La Cour de cassation a posé ce principe fondamental dans l'arrêt Nikon du 2 octobre 2001 (Cass. soc. n°99-42.942), qui reconnaît que le salarié a droit, même au temps et au lieu de travail, au respect de l'intimité de sa vie privée.

La jurisprudence a précisé la ligne de partage entre fichiers professionnels et personnels : dans l'arrêt du 18 octobre 2006 (n°04-48.025), la Chambre sociale de la Cour de cassation a établi que les fichiers créés par un salarié sur l'ordinateur mis à sa disposition sont présumés avoir un caractère professionnel, sauf si le salarié les identifie comme personnels. Cette présomption de caractère professionnel constitue le fondement de la charte informatique : elle permet à l'employeur de consulter les fichiers professionnels sans procédure particulière, mais impose de respecter les fichiers identifiés comme personnels.

La charte informatique se distingue du règlement intérieur en ce qu'elle porte spécifiquement sur les usages numériques et la cybersécurité, sans nécessiter la procédure formelle de dépôt à la DREETS et au Conseil de prud'hommes prévue par les articles L1321-4 et R1321-1 du Code du travail pour le règlement intérieur. Cependant, certaines dispositions de la charte informatique (règles disciplinaires liées aux usages informatiques) doivent être intégrées au règlement intérieur pour être opposables comme base d'une sanction disciplinaire. La charte informatique est ainsi généralement annexée au règlement intérieur ou y est expressément référencée.

La directive NIS2 (Network and Information Security), transposée en droit français par la loi n°2023-703 du 1er août 2023, a renforcé les obligations de cybersécurité pour les entreprises opérant dans des secteurs essentiels et importants. L'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) publie des référentiels et des guides de bonnes pratiques (PSSI, politique de sécurité des systèmes d'information) que les entreprises peuvent intégrer dans leur charte informatique. La certification ISO 27001 sur la sécurité de l'information intègre la charte informatique comme mesure organisationnelle obligatoire.

La Charte d'Utilisation Informatique en France est nécessaire dans toute entreprise mettant à disposition de ses salariés des équipements numériques ou des accès à des systèmes d'information, quelle que soit sa taille. Son élaboration s'impose particulièrement dans les situations suivantes.

Lors de la mise en place du télétravail (art. L1222-9 Code du travail et ANI du 26 novembre 2020) : le télétravail exige de formaliser les règles d'utilisation des équipements professionnels hors des locaux de l'entreprise, notamment les obligations de sécurisation du réseau domestique (VPN obligatoire, interdiction des réseaux WiFi publics non sécurisés pour l'accès aux données professionnelles sensibles) et les règles d'usage personnel des équipements dans le contexte du domicile où les membres de la famille peuvent être présents.

Lors de l'introduction de nouveaux outils collaboratifs (Microsoft Teams, Slack, Notion, Salesforce, outils d'IA générative) qui multiplient les vecteurs d'usage personnel et les risques de fuites de données confidentielles, notamment via le copier-coller de données clients dans des applications d'IA non approuvées par la DSI — risque spécifiquement identifié par l'ANSSI depuis 2023.

Lors d'une croissance de l'effectif rendant impossible le contrôle informel des usages numériques : au-delà de 20 à 30 salariés, l'absence de charte écrite expose l'employeur à l'impossibilité de sanctionner valablement les abus (absence de base normative opposable). Lors d'un audit RGPD ou d'une mise en conformité exigée par un client institutionnel, un investisseur de capital-risque (clauses de due diligence SSI) ou un organisme de certification (ISO 27001, SOC 2). Lors de la préparation d'une mise en demeure ou d'un licenciement pour faute lié à un abus informatique — la charte signée constitue la preuve de l'information du salarié sur les règles et les sanctions applicables.

La charte informatique doit être révisée à chaque évolution majeure du parc informatique, à chaque déploiement d'un nouveau système d'information (ERP, CRM, SIRH), lors de la transposition en droit national de la directive NIS2 (loi n°2023-703 du 1er août 2023 et textes d'application 2024-2025), et systématiquement lors d'une violation de données notifiée à la CNIL (art. 33 RGPD — délai de 72 heures). La CNIL et l'ANSSI publient annuellement des guides de bonnes pratiques qui servent de référence pour la mise à jour des chartes.

La Charte d'Utilisation Informatique en France doit contenir les éléments suivants pour être efficace, légalement valide et opposable.

**Inventaire des ressources et conditions d'accès :** Liste précise des équipements (ordinateurs fixes et portables, smartphones, tablettes, serveurs) et logiciels professionnels mis à disposition ; règles de gestion des identifiants et mots de passe conformes aux recommandations de la CNIL (délibération n°2018-303 : longueur minimale 12 caractères, complexité, renouvellement trimestriel) et de l'ANSSI (guide PSSI) ; politique BYOD (Bring Your Own Device) si applicable, avec précision des conditions de sécurisation des équipements personnels (chiffrement obligatoire, MDM — Mobile Device Management).

**Règles d'usage personnel :** Définition précise de la tolérance d'usage personnel — généralement autorisé de façon raisonnable et non abusive — pour maintenir la présomption de caractère professionnel des fichiers non identifiés (jurisprudence Cass. soc. 18 octobre 2006, n°04-48.025). Un fichier ou message explicitement marqué « PERSO » ou rangé dans un dossier nommé « Personnel » bénéficiera de la protection de la vie privée (arrêt Nikon, Cass. soc. 2 octobre 2001, n°99-42.942). La tolérance d'usage personnel ne s'applique pas aux logiciels de P2P, aux applications de streaming illimité, aux outils d'IA générative non approuvés ou aux VPN personnels.

**Sécurité informatique et cybersécurité :** Obligations de signalement des incidents de sécurité à la DSI dans un délai de 2 heures (coordonnées disponibles 24h/24), interdiction d'installer des logiciels non approuvés par la liste blanche de la DSI, règles de gestion des mises à jour (obligation d'appliquer les correctifs critiques dans les 24 heures), politique de sauvegarde (règle 3-2-1 : 3 copies, 2 supports, 1 externe). Référence aux obligations NIS2 pour les entreprises des secteurs essentiels et importants (loi n°2023-703 du 1er août 2023).

**RGPD et protection des données :** Rappel des bases légales de traitement des données dans le cadre professionnel (art. 6 RGPD : exécution du contrat de travail, obligation légale, intérêt légitime de l'employeur), mention des coordonnées du DPO si nommé, procédure de signalement des violations de données (art. 33 RGPD — 72 heures pour notifier la CNIL), droits des salariés sur leurs données personnelles traitées par l'entreprise (accès, rectification, opposition).

**Dispositifs de contrôle et surveillance :** Mention explicite et exhaustive de tous les dispositifs de contrôle en place (logs de connexion internet, analyse des courriels entrants et sortants, système de badges d'accès, logiciels de MDM, enregistrement des appels téléphoniques) conformément à l'article L1222-4 du Code du travail (information préalable obligatoire). La CNIL exige que chaque dispositif soit déclaré au CSE avant déploiement et soit proportionné au but légitime recherché (délibération CNIL n°2017-012 du 19 janvier 2017 relative à la cybersurveillance des salariés).

**Internet et réseaux sociaux :** Règles d'usage de l'internet professionnel (sites interdits, catégories bloquées par le proxy), politique de représentation de l'entreprise sur les réseaux sociaux (LinkedIn, X, Instagram) — interdiction de se présenter comme porte-parole de l'entreprise sans habilitation. L'employeur est responsable des actes illicites commis depuis ses équipements (art. 1242 Code civil — responsabilité du fait d'autrui) et peut être poursuivi par les victimes ou les ayants droit en cas de téléchargements illicites.

**Sanctions :** Intégration dans l'échelle des sanctions du règlement intérieur pour garantir l'opposabilité — sans mention dans le règlement intérieur ou sans renvoi explicite, la charte seule ne peut pas fonder une sanction disciplinaire sérieuse. Référence aux infractions pénales applicables : fraude informatique (art. 323-1 Code pénal — 2 ans et 60 000 €), violation du droit d'auteur (art. L335-2 CPI — 3 ans et 300 000 €), violation du RGPD (art. 226-17 Code pénal — 5 ans et 300 000 €). forms-legal.com propose ce modèle complet adapté aux entreprises françaises de toutes tailles.

**Clause sur l'IA générative :** Face à l'explosion des usages d'outils d'IA (ChatGPT, Copilot, Gemini), la charte doit préciser les conditions d'utilisation de ces outils dans le cadre professionnel : interdiction de saisir des données confidentielles, des données personnelles de clients ou des secrets d'affaires dans des IA non approuvées, et obligation d'utiliser exclusivement les outils validés par la DSI sur la liste blanche.

Pour élaborer et déployer une Charte d'Utilisation Informatique en France efficace, suivez ces étapes.

**Étape 1 — Inventaire et diagnostic :** Listez tous les équipements et logiciels mis à disposition des salariés, en distinguant les équipements fournis par l'entreprise et les équipements personnels autorisés (BYOD). Identifiez les risques numériques spécifiques à votre secteur : données clients sensibles dans le conseil et la finance, propriété intellectuelle dans l'industrie et la tech, données médicales dans la santé. Réalisez une analyse de risques RGPD (Privacy Impact Assessment — PIA, art. 35 RGPD si traitement à risque élevé) en collaboration avec votre DPO et votre DSI.

**Étape 2 — Rédaction et validation juridique :** Adaptez le modèle à vos outils, pratiques et secteur d'activité. Faites valider par un juriste spécialisé en droit du travail ou un consultant RGPD certifié les clauses sur la surveillance des salariés et le traitement de leurs données personnelles — ces clauses sont les plus susceptibles d'être contestées. Vérifiez la cohérence avec votre règlement intérieur et identifiez les dispositions qui doivent y être intégrées pour être opposables en tant que base disciplinaire.

**Étape 3 — Consultation du CSE :** Bien que la charte informatique ne soit pas légalement soumise à la procédure formelle du règlement intérieur (pas de dépôt à la DREETS requis), soumettre le projet au CSE pour information et consultation renforce significativement sa légitimité et sa valeur probatoire en cas de contentieux prud'homal. Le CSE doit obligatoirement être informé et consulté avant tout déploiement de dispositifs de surveillance (art. L2312-38 Code du travail). Conservez le procès-verbal de consultation.

**Étape 4 — Déploiement et formation :** Remettez la charte à tous les salariés contre accusé de réception signé ou via une acceptation électronique enregistrée (plateforme de signature numérique). Organisez une session de sensibilisation à la cybersécurité d'au moins 1 heure pour tous les salariés et une session approfondie de 3 heures pour les administrateurs systèmes. Intégrez la charte dans le parcours d'intégration des nouveaux arrivants, avec une remise systématique le premier jour.

**Étape 5 — Mise à jour régulière :** Révisez la charte au moins une fois par an lors de la revue annuelle de la politique de sécurité des systèmes d'information (PSSI), systématiquement après un incident de cybersécurité, une violation de données notifiée à la CNIL, une modification significative du parc informatique (nouveaux outils IA, migration cloud, déploiement MDM) ou une évolution de la réglementation RGPD, NIS2 ou ANSSI. La version mise à jour doit être remise à tous les salariés et resignée.

Les exigences légales applicables à la Charte d'Utilisation Informatique en France sont multiples et issues de sources variées.

**Droit du travail :** L'article L1121-1 du Code du travail interdit toute restriction aux libertés individuelles non justifiée par la nature de la tâche et non proportionnée au but recherché. La charte informatique doit respecter ce principe sous peine d'annulation des clauses abusives par le Conseil de prud'hommes. L'article L1222-4 impose d'informer les salariés préalablement à tout dispositif de contrôle ou de collecte d'informations.

**RGPD et loi Informatique et Libertés :** Le Règlement UE n°2016/679 et la loi n°78-17 modifiée imposent une information complète des salariés sur les traitements de données les concernant (art. 13 RGPD), la sécurité des données (art. 32), la notification des violations (art. 33-34). La délibération CNIL n°2018-303 sur les mesures techniques de protection est le référentiel de sécurité de base pour les entreprises françaises.

**Cybersécurité — directive NIS2 :** Transposée par la loi n°2023-703 du 1er août 2023 et les textes d'application attendus en 2024-2025, la directive NIS2 renforce les obligations de sécurité et de signalement des incidents pour les entités essentielles et importantes. L'ANSSI est l'autorité nationale compétente.

**Droit pénal :** La fraude informatique (art. 323-1 Code pénal — accès frauduleux à un système d'information) est punie de 2 ans d'emprisonnement et 60 000 € d'amende. La violation du droit d'auteur par téléchargement illicite (art. L335-2 Code de la propriété intellectuelle) est punie de 3 ans et 300 000 €. La responsabilité pénale peut être engagée aussi bien pour le salarié auteur que pour l'employeur qui n'a pas pris les mesures préventives adéquates.

Les erreurs les plus fréquentes lors de la rédaction d'une Charte d'Utilisation Informatique en France.

**Erreur 1 — Surveillance sans information préalable :** Mettre en place des outils de surveillance des connexions internet ou de la messagerie sans en informer préalablement les salariés et le CSE (art. L1222-4 Code du travail). La preuve obtenue via un dispositif de surveillance non déclaré est irrecevable devant le Conseil de prud'hommes (Cass. soc. 14 mars 2000, n°98-42.090).

**Erreur 2 — Interdiction totale d'usage personnel :** Interdire toute utilisation personnelle des équipements professionnels est jugé disproportionné par la CNIL et contraire à l'arrêt Nikon de la Cour de cassation. La tolérance d'un usage personnel raisonnable est la pratique reconnue.

**Erreur 3 — Charte non signée :** Une charte non remise aux salariés ni signée n'a pas de valeur probatoire en cas de litige. La preuve de la remise et de l'acceptation de la charte est essentielle pour fonder une sanction disciplinaire.

**Erreur 4 — Absence de cohérence avec le règlement intérieur :** Les sanctions liées aux manquements à la charte informatique doivent figurer dans l'échelle des sanctions du règlement intérieur pour être opposables. Une charte autonome sans renvoi au règlement intérieur ne permet pas de sanctionner efficacement les abus.

**Erreur 5 — Non mise à jour après incident :** Après une violation de données ou un incident de cybersécurité, ne pas réviser la charte pour intégrer les nouvelles mesures de sécurité mises en place. La CNIL peut retenir cet oubli pour aggraver la sanction en cas de récidive.