Existerait-il une charte universelle, qu’il suffirait de recopier et de faire signer à ses employés ? La réponse unanime des juristes, administrateurs, experts et syndicats est clairement non. “Pour moi, la charte type est un non-sens. Une charte correspond à une vie d’entreprise. Pour certaines entreprises, le trafic n’est pas tracé, on ne surveille pas les sites visités. D’autres interdisent toute utilisation privée de la boîte aux lettres de la société, mais tolèrent les connexions sur une boîte aux lettres externe. La charte doit être le reflet des pratiques et de la culture de l’entreprise”, explique Alain Bensoussan.
Un contenu adapté, une structure plus rigide
Le cas du CNRS est significatif. Si la direction a bien établi une charte, celle-ci est un document général que les laboratoires adaptent à leur activité. “Chaque administrateur travaille avec la direction, le conseil juridique et le conseil de laboratoire [équivalent du CE au CNRS, Ndlr] pour adapter sa charte”, précise Robert Longeon, chargé de mission au CNRS. Cependant, comme l’explique Cyril Margnat, juriste et directeur financier de l’éditeur MailWatcher : “Neuf fois sur dix, les chartes ont le même but. Comme dans le cas d’un règlement intérieur, les circonstances sont propres à chaque entreprise, mais la structure de fond du document est la même.” Ainsi, toute charte devra comporter un certain nombre de points. Le contenu est variable, la structure beaucoup moins.La première partie de la charte concerne la charte elle-même. Elle précise son objet, son champ d’application, c’est-à-dire les personnes concernées, et statue sur la nécessité et la nature des sanctions. La charte comporte ensuite un vaste chapitre consacré à l’utilisation de l’outil informatique, qui se divise en plusieurs parties : le rappel des règles pénales, des règles de sécurité propres à l’entreprise et des règles concernant l’usage du web et de la messagerie. Dans une première partie, il s’agit de mettre par écrit clairement ce que tout le monde sait plus ou moins : interdiction du piratage, de la fréquentation de certaines catégories de sites, du spam, de la diffamation, des violations de la propriété intellectuelle ; bref, un ensemble de pratiques légalement condamnables.Le chapitre des règles de sécurité, quant à lui, formalise et explicite une série de mesures de bon sens telles que changer régulièrement ses mots de passe (la charte peut préciser la périodicité), les garder secrets, utiliser l’antivirus, ne pas ouvrir de documents douteux et protéger autant que possible les documents confidentiels. En d’autres termes, ce chapitre condense la politique de sécurité de l’entreprise. Elle peut aussi être l’occasion de préciser que certains types de fichiers sont automatiquement détruits lorsqu’ils sont détectés sur le réseau, ou que certains mots-clés sont filtrés, soit sur les courriers électroniques soit sur Internet, et ce, pour des raisons de sécurité. La charte du Groupe Renault, établie en août 2001, va jusqu’à expliquer qu’il faut éteindre son PC proprement, en fermant les applications. Vient ensuite la partie des règles d’usage propres à l’entreprise, qui concernent la messagerie et Internet. Très vite se pose la question de l’usage personnel de l’informatique. Son interdiction est-elle envisageable ? Comme le rappelle Yves Lasfargue, consultant indépendant : “Beaucoup de sociétés, qui l’ont essayée dans un premier temps, en sont revenues.” Et maître Cyril Rojinsky, avocat, d’ajouter : “Nous nous dirigeons vers une notion d’utilisation raisonnable de l’informatique à des fins personnelles. L’un des enjeux de la charte est bien entendu de préciser ce “raisonnable” et de lui fixer des limites.”Un récent rapport de la Cnil (” La cybersurveillance des salariés dans l’entreprise “) apporte une réponse nuancée : “L’interdiction de principe faite aux salariés d’utiliser la messagerie électronique à des fins non professionnelles paraît tout à la fois irréaliste et disproportionnée.” Il ajoute cependant : “La sécurité de certaines entreprises particulières peut sans doute justifier que soit opéré un contrôle a posteriori de l’usage des messageries.” La même modération est de mise au sujet d’Internet.
Délimiter un usage personnel ” raisonnable “
Il incombe alors à l’entreprise de fixer les limites raisonnables de l’usage de l’informatique. Or, c’est une notion qui dépend de ses ressources et de son activité. Si certaines entreprises peuvent se permettre d’en rester à une simple préconisation d’usage raisonnable, d’autres seront plus précises. “Nous limitons à 5 Mo par mois le volume de courrier électronique émis vers l’extérieur pour certaines catégories de salariés”, explique un directeur informatique, qui préfère garder l’anonymat. Pour des envois en mode texte, c’est largement suffisant. Ce seuil décourage les excès et les envois massifs qui encombrent le réseau. Dans les faits, les tentatives de dépassement sont rares, les utilisateurs ont compris ce que signifie cette limitation.”Le dernier domaine de la charte, à ne pas négliger, concerne la transparence. Toute activité informatique laisse des traces. La charte sera l’occasion de rappeler que les coupe-feu enregistrent toute l’activité, qu’il s’agisse des sites visités, de l’horaire des visites, de la nature des éléments téléchargés ou des caractéristiques des messages.C’est aussi l’occasion de faire le point sur les politiques de sauvegarde de l’entreprise, qu’elles concernent les e-mails ou les disques durs. “Aujourd’hui, 75 % du savoir de l’entreprise passe par la messagerie électronique, rappelle Cyril Margnat, qui cite une étude du Gartner Group. Il est normal que se fassent jour des règles d’archivage. Une bonne gestion des e-mails fait partie des critères dans le cadre des certifications ISO. Il est légitime pour une entreprise d’avoir le contrôle de ses courriers électroniques.” Mais ce contrôle risque d’entrer en conflit avec le droit fondamental à la protection de la vie privée. Sauf, si le salarié en est informé.Enfin, l’entreprise doit préciser dans la charte la nature des contrôles qu’elle exerce ou, du moins, informer le salarié de l’existence de tels contrôles, particulièrement si ceux-ci constituent des risques d’atteinte à sa vie privée. Or, un expert en sécurité confie : “La mise en place d’outils de gestion du trafic capables de remonter des données personnelles se fait, dans beaucoup de petites entreprises, sans aucune information, par méconnaissance des lois et par peur des conflits avec les employés.” Pourtant, la loi est claire sur ce point : l’entreprise a un droit de regard sur l’activité de ses salariés, mais uniquement si ceux-ci sont informés du contrôle qui s’exerce sur eux, faute de quoi, c’est l’employeur qui est en tort.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.