Actualités

Chartes

Cet article a été publié en juillet 2006 dans CSO Magazine, par S. Belkhayat-Fuchs.

La charte, mode d'emploi

Le Forum des Compétences s'est penché sur les problèmes de cybersurveillance et la conception d'une charte d'utilisation des NTIC par les salariés des établissements de crédit.

Dès le début de 2005, le Forum des Compétences eut l'idée des professionnels des systèmes d'information, d'une part et des spécialistes du secteur juridique, de l'autre, afin de confronter leurs expériences en entreprise. Dans leurs débats, la question la plus fréquemment soulevée concernait la mise en place d'une charte d'utilisation des nouvelles technologies (NTIC) à l'attention des salariés. C'est donc tout naturellement qu'un groupe de travail s'est formé autour de ce sujet en mai 2005.

L'objectif était d'élaborer un document qui reprenne les différentes typologies de ce que peut être une charte d'utilisation des NTIC. A commencer par définir, au mieux, le terme charte et établir un positionnement par rapport aux autres outils juridiques dont dispose l'établissement. " L'intérêt d'une telle réflexion est qu'elle commence, en premier lieu, par une analyse globale de la politique de sécurité de l'entreprise " commente François, Coupez, juriste spécialistes du droit des nouvelles technologies à la Société Générale et membre du groupe de travail concerné du Forum des Compétences.

L'analyse globale s'appuie sur les habitudes de travail au sein de l'entreprise. Elle tient compte du type de système d'information qu'elle utilise et qu'elle met à disposition de ses salariés. Est aussi examinée de près l'organisation de la sécurité autour de ce SI : politique d'accès avec ou sans mot de passe ; présence ou non d'un espace privatif ; façon dont les logiciels sont mis à disposition -à partir d'un simple poste de travail ou de manière généralisée- ; problèmes de spam ou d'anti-virus - doit-on imposer la mise en place de filtres comme une chose inévitable ? Que penser de l'utilisation des clés USB (présentations, documents mobiles) : doivent-elles être intégrée au sein de la politique de sécurité, qui impose des restrictions à leur sujet, pour d'évidentes raisons de confidentialité, principalement dans les institutions financières ? Doit-on considérer comme normal l'envoi de messages d'ordre privé depuis un poste de travail ? Dans quelle mesure ceux-ci ne risquent-ils pas d'avoir un impact sur les performances informatiques ? Il n'est pas impensable d'interdire l'utilisation de la messagerie à des fins privées pour ceux qui travaillent dans une activité spécifique au sein d'un établissement financier, dont les échanges nécessitent un niveau de confidentialité draconien…

" Lors de cette étape, il faut savoir considérer l'axe politique que suit une entreprise. Et si l'on se base sur le rapport publié par le Medef ainsi que sur les différentes jurisprudences sur le sujet, on peut même imaginer interdire complètement, juridiquement parlant, l'utilisation de la messagerie professionnelle à titre privé pour certaines catégories de personnel. Il est clair que cet examen de la politique de sécurité de l'entreprise est une réflexion qui doit être pratiquée avant toute chose, car elle influera par la suite de façon évidente sur la rédaction de la charte, observe François Coupez. Une analyse de ce qui se fait en pratique et de ce que l'on voudrait qu'il soit fait, mais aussi une prise en compte de l'aspect social est un préalable absolument nécessaire à la mise en œuvre de cette politique. Par exemple, si l'on constate que les mots de passe restent faibles ou qu'ils sont inscrits sur des Post-it à même l'écran - alors que la société concernée a mis en avant une politique de sécurisation forte de ses mots de passe-, l'employeur peut décider d'inscrire dans la charte des règles strictes spécifiques à l'obligation de confidentialité desdits mots de passe. Et tout ceci afin de respecter le cadre de confidentialité des données financières. "

Un document opposable au salarié

Puis vient le moment de rédiger la charte, volet juridique de cette réflexion commune. C'est le texte qui sera présenté au salarié et qui lui indiquera ce qu'il doit respecter en fonction des règles établies. Pour François Coupez, " le terme charte dans son acceptation par les juristes ou les groupes de travail qui ont eu à s'intéresser au sujet, notamment le Forum des Droits sur l'Internet, désigne un document conçu pour être juridiquement opposable au salarié. Un document qu'il doit respecter sous peine d'être sanctionné en cas de non-respect. C'est pour cela que bon nombre d'entreprises pensent l'inclure directement dans le règlement intérieur, ce qu'a fait la Société Générale. Bien entendu, l'objectif final n'est absolument pas de mettre la politique de sécurité globale de l'entreprise dans ce document. Mais, en y incluant certains éléments que les responsables d'entreprise estiment comme vraiment incontournables, il est indiqué exactement au salarié ce qu'il peut ou ne pas faire, de façon encadrée. "

En ce qui concerne la Société Générale, par exemple, il est précisé au sein de la charte, que le salarié peut envoyer des messages d'ordre privé via la messagerie professionnelle, sous réserve qu'il le fasse de manière limitée, et non abusive " dans le cadre des nécessités de la vie courante et familiale ". Dans une charte, il peut ne pas y avoir d'interdiction formelle et définitive, mais un appel au bon sens de chacun. Sans oublier de préciser au sein de cette même charte que tout message, privé ou professionnel, passe, quoiqu'il advienne par des filtres.

Et donc le rôle de la charte est aussi d'être transparente vis-à-vis du contrôle que pourrait opérer l'entreprise sur certains flux. " Il est juridiquement licite d'utiliser un outil électronique pour contrôler un salarié dans son travail. Sous réserve, bien sûr, du respect du droit social (information préalable du salarié, proportionnalité du contrôle…). Dans le cadre d'établissement de crédit, compte tenu des règles très fortes de confidentialité, imposées notamment par le règlement 97/02 du CRBF ou le secret bancaire, il faut pouvoir s'assurer que les informations confidentielles ne s'échappent pas par des canaux non-officiels. La transparence de la charte est véritablement importante. Savoir dire dans quel cadre cela s'inscrit et ce qu'il y aura comme contrôle dans le contexte d'activité de la société. L'idée de ce pensum est de poser clairement les règles et d'aménager les bonnes fois respectives des parties face à face. Ainsi, en cas de conflit, il existe un texte auquel se référer en toute objectivité. "

Envisager tous les cas critiques

En résumé, l'objectif du groupe de travail du Forum des Compétences est d'imaginer les processus à suivre afin d'élaborer une charte, à savoir éclairer chaque point de la politique de sécurité concernant le mail, la messagerie instantanée, la mise en place des filtres, le système d'archivage des flux passants, le type de contenu pouvant être stocké sur les serveurs de l'entreprise (ceci faisant référence aux contenus pornographiques téléchargés…).

Une fois tous les cas critiques envisagé, la phase suivante consiste à rédiger plusieurs exemples de clause. Chaque texte dépendant étroitement du choix des politiques de sécurité d'une entreprise. Au sein du groupe de travail du Forum des Compétences, chaque membre pouvait compter sur celle… déjà établie dans sa propre société. Il suffisait de les rendre anonymes, pour en tirer rapidement, une fois mises en commun, des trames composées de chaque élément intéressant provenant de ces différents documents. Des textes qui tiennent également compte de toutes les jurisprudences sur le sujet (au nombre de vingt-cinq environ depuis 2001). L'écriture des règles est pensée non seulement en termes juridiques mais également en terme techniques. Les documents résultants, destinés essentiellement aux établissements financiers, tiennent compte de différents cas de figure, et peuvent être utilisées également par les entreprises de taille moyenne.

Cet article a été publié en juillet 2006 dans CSO Magazine, par S. Belkhayat-Fuchs.

Nous contacter