Skip to content
Retour aux guides
Guide

Rédiger votre charte informatique : modèle et guide complet pour PME

Modèle de charte informatique pour PME avec les clauses obligatoires. Guide complet : contenu, validation juridique, diffusion et lien avec votre programme de sensibilisation cybersécurité.

Thomas Ferreira 23 min de lecture

Une PME de 80 employés dans la logistique. Lors d’une enquête interne après un ransomware, il s’avère qu’un technicien avait connecté une clé USB personnelle au serveur de fichiers. L’entreprise veut le sanctionner. Problème : la charte informatique datait de 2017, n’avait jamais été annexée au règlement intérieur, et aucun employé n’en avait reçu copie depuis son arrivée. Le conseil de prud’hommes a requalifié le licenciement. Coût total de l’incident : 180 000 euros, dont 40 000 euros de frais de procédure.

Ce scénario se répète dans des dizaines de PME chaque année. La charte informatique existe, parfois. Mais elle n’est ni à jour, ni opposable, ni connue des équipes. Elle protège personne.

Ce guide explique ce que doit contenir une charte informatique adaptée aux PME françaises en 2026, comment la rendre juridiquement opposable, et comment l’articuler avec votre programme de sensibilisation à la cybersécurité.

Pourquoi votre PME a besoin d’une charte informatique

La charte informatique n’est pas un document de façade. C’est un outil de protection mutuelle : pour l’entreprise face aux risques juridiques liés aux usages des salariés, et pour les salariés qui savent précisément ce qui est permis et ce qui ne l’est pas.

La base légale

L’article L.1321-5 du Code du travail permet à l’employeur d’annexer au règlement intérieur des notes de service ou chartes portant sur des obligations générales et permanentes en matière d’hygiène et de sécurité — catégorie dans laquelle la charte informatique s’inscrit directement. Cette annexion confère à la charte la même valeur juridique que le règlement intérieur, ce qui en fait un document opposable aux salariés.

L’article 32 du RGPD oblige les responsables de traitement à mettre en place des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque. La CNIL a précisé dans ses lignes directrices que les mesures organisationnelles incluent la sensibilisation et l’information des personnels — dont la charte informatique est l’un des vecteurs prioritaires. Sans charte, l’entreprise ne peut pas démontrer que ses salariés ont été informés de leurs obligations.

La directive NIS2, transposée en droit français en 2025, ajoute une couche supplémentaire. Les entités concernées doivent documenter leurs politiques de sécurité et prouver l’implication de leurs employés. La charte informatique constitue la preuve documentaire que vos mesures de sécurité humaines ont été formalisées et portées à connaissance. Pour les PME soumises à NIS2, une charte absente ou non opposable est un écart lors d’un audit ANSSI.

Pourquoi l’opposabilité change tout

Sans charte opposable, l’employeur ne peut pas sanctionner un salarié pour :

  • L’installation de logiciels non autorisés qui ont introduit un malware
  • L’utilisation d’une messagerie personnelle pour envoyer des données clients
  • La connexion d’un appareil non sécurisé au réseau de l’entreprise
  • Le partage d’identifiants avec un collègue

Le tribunal ne peut pas reprocher à un salarié de ne pas avoir respecté des règles qu’on ne lui avait pas officiellement communiquées. L’opposabilité est la condition sine qua non de toute sanction disciplinaire liée à un usage des systèmes d’information.

La charte protège aussi l’employeur face aux tiers : clients, partenaires, assureurs cyber, et autorités de contrôle. Après un incident, pouvoir montrer qu’une politique formelle existait, avait été diffusée et était à jour, fait une différence significative dans l’évaluation de la responsabilité de l’entreprise.

Les clauses à inclure dans votre charte

Une charte informatique efficace couvre l’ensemble des vecteurs d’incident. Voici les clauses à traiter, avec pour chacune les points clés à préciser.

Utilisation des équipements professionnels

Définissez le périmètre des équipements couverts : postes de travail, ordinateurs portables, smartphones professionnels, tablettes, imprimantes, équipements réseau. Précisez les règles :

  • L’équipement professionnel est destiné à un usage professionnel. Un usage personnel raisonnable est toléré (définissez ce que « raisonnable » signifie concrètement : consultation d’emails personnels, navigation hors temps de travail).
  • Interdiction de prêter l’équipement à des tiers, y compris les membres de la famille.
  • Interdiction de connecter des supports amovibles non autorisés (clés USB, disques externes) sans validation du service informatique.
  • Obligation de signaler immédiatement toute perte, vol ou détérioration.
  • L’entreprise se réserve le droit d’accéder aux données stockées sur les équipements professionnels à des fins d’investigation, dans le respect des dispositions légales.

Messagerie professionnelle

La messagerie est le premier vecteur de cyberattaque en France. Cette clause doit être précise :

  • Interdiction de transmettre des données confidentielles ou à caractère personnel via une messagerie personnelle (Gmail, Yahoo, etc.) ou des applications de messagerie instantanée non approuvées.
  • Interdiction d’ouvrir des pièces jointes ou de cliquer sur des liens provenant d’expéditeurs inconnus ou suspects.
  • Obligation de signaler tout email suspect au service informatique ou via le canal de signalement désigné (adresse email dédiée, bouton de signalement dans le client mail). Cette clause est déterminante pour votre programme de simulation de phishing : elle donne une base formelle à la procédure de signalement et permet de mesurer le taux de signalement comme indicateur de conformité.
  • Règles sur l’usage des listes de diffusion, les réponses à tous, la taille des pièces jointes.
  • Rappel que les emails professionnels sont susceptibles d’être consultés par l’employeur dans les conditions prévues par la Cour de cassation (voir section suivante).

Internet et réseaux sociaux

  • Usages internet autorisés et interdits (téléchargement de logiciels tiers, streaming, messageries instantanées non approuvées).
  • Interdiction d’accéder à des sites à contenu illicite, à caractère haineux, pornographique ou incitant à la fraude.
  • Règles sur l’utilisation des réseaux sociaux : distinction entre expression personnelle et représentation de l’entreprise, interdiction de divulguer des informations confidentielles, mention obligatoire du caractère personnel d’une opinion.
  • Précisions sur le recours aux outils d’intelligence artificielle générative : quelles données peuvent être saisies dans ces outils, lesquelles ne le peuvent pas (données clients, données personnelles, informations stratégiques).

Mots de passe et authentification

  • Règles de complexité : longueur minimale (12 caractères recommandés par la CNIL), mélange de caractères.
  • Interdiction de partager un mot de passe avec quiconque, y compris le service informatique.
  • Obligation de ne pas réutiliser un mot de passe professionnel sur des services personnels.
  • Obligation d’utiliser l’authentification multi-facteur sur les comptes qui la proposent.
  • Règles en cas de suspicion de compromission d’un mot de passe : signalement immédiat et changement sans attendre.

Télétravail et accès distants

  • Obligation de se connecter via le VPN de l’entreprise pour accéder aux ressources internes.
  • Interdiction d’utiliser un réseau Wi-Fi public sans VPN actif.
  • Règles sur l’environnement de travail à domicile : verrouillage de l’écran en cas d’absence, règles relatives aux documents imprimés, interdit de travailler dans des espaces où des tiers non habilités peuvent voir l’écran.
  • Obligation de signaler toute suspicion d’intrusion sur le réseau domestique.

BYOD — appareils personnels

Si votre entreprise autorise le BYOD (Bring Your Own Device) :

  • Liste des usages autorisés sur les appareils personnels (accès webmail uniquement, application mobile spécifique, etc.).
  • Obligations de l’employé : système d’exploitation à jour, code de déverrouillage, installation de l’outil MDM (Mobile Device Management) requis.
  • Information claire sur les droits de l’employeur : l’installation du MDM peut permettre un effacement à distance des données d’entreprise. La charte doit le préciser explicitement.
  • Procédure en cas de perte ou vol de l’appareil.

Si vous n’autorisez pas le BYOD, le dire explicitement dans la charte.

Confidentialité et données sensibles

  • Définition des niveaux de confidentialité des données (publiques, internes, confidentielles, très confidentielles ou tout autre nomenclature adaptée).
  • Règles de traitement selon le niveau : stockage autorisé, partage autorisé, conditions de transmission externe.
  • Obligations relatives aux données à caractère personnel : rappel du cadre RGPD, interdiction de créer des traitements non déclarés au DPO, obligation de signaler toute violation de données.
  • Obligations de confidentialité maintenues après la fin du contrat de travail.

Sanctions en cas de manquement

Cette clause doit être précise pour être opposable. Listez les types de manquements et les sanctions correspondantes, en cohérence avec l’échelle disciplinaire du règlement intérieur :

  • Manquements mineurs (navigation excessive sur des sites non liés au travail, usage personnel des ressources numériques au-delà de la tolérance) : rappel à l’ordre.
  • Manquements significatifs (installation de logiciels non autorisés, non-respect des règles de mots de passe) : avertissement ou mise à pied.
  • Manquements graves (divulgation de données confidentielles, utilisation des systèmes à des fins frauduleuses, introduction délibérée de programmes malveillants) : licenciement pour faute grave ou lourde.

Précisez que les manquements constitutifs d’infractions pénales peuvent faire l’objet de poursuites judiciaires en plus des sanctions disciplinaires.

Mentions RGPD sur la surveillance

C’est la clause la plus sensible. L’employeur peut surveiller les usages numériques de ses employés, mais dans des limites précises fixées par la CNIL et la jurisprudence :

  • Informer les salariés des outils de surveillance mis en place (journaux d’accès réseau, filtrage des emails, outils de gestion des terminaux).
  • Préciser la finalité de cette surveillance : sécurité du système d’information, détection d’intrusions, prévention des fuites de données.
  • Garantir la proportionnalité : la surveillance ne peut pas être permanente et intégrale. Les accès aux contenus personnels des salariés sont strictement encadrés.
  • Informer des droits des salariés : droit d’accès aux données collectées les concernant, droit de rectification, droit de s’opposer dans les cas prévus par le RGPD.

Le cadre juridique

Code du travail

L’article L.1321-5 est le fondement légal de la charte informatique en droit du travail. Il permet d’annexer au règlement intérieur des documents portant sur des obligations générales en matière de santé, sécurité et conditions de travail au sens large. Pour bénéficier de cette valeur juridique, l’annexion doit respecter la même procédure que le règlement intérieur lui-même.

L’article L.1321-6 précise que tout document comportant des obligations pour les salariés doit être rédigé en français. Une charte partiellement rédigée en anglais — situation fréquente dans les filiales de groupes internationaux — n’est pas opposable aux salariés francophones.

Jurisprudence de la Cour de cassation

La Cour de cassation a construit une jurisprudence dense sur les droits respectifs de l’employeur et du salarié concernant les usages numériques. Les arrêts clés à connaître :

Arrêt Nikon, Cour de cassation, 2 octobre 2001 : même sur un ordinateur professionnel, le salarié a droit au respect de sa vie privée et au secret de ses correspondances. L’employeur ne peut pas ouvrir les fichiers personnels identifiés comme tels par le salarié. Cet arrêt a posé le principe de la « tolérance raisonnée » : un usage personnel limité des outils professionnels est accepté, et l’employeur ne peut pas y accéder librement.

Arrêt Cour de cassation, Chambre sociale, 26 janvier 2016 : les fichiers non identifiés comme personnels par le salarié sont présumés professionnels. L’employeur peut y accéder en dehors de la présence du salarié. Cette présomption est inversée pour les fichiers clairement étiquetés « personnel » ou « privé ».

Arrêt Cour de cassation, 23 octobre 2019 : un salarié ne peut pas être licencié pour une faute commise dans le cadre d’un usage personnel toléré si la charte n’en interdisait pas explicitement les limites. La charte doit définir précisément ce qui est toléré, sans quoi les limites deviennent floues.

Ce que cela implique pour votre charte : définissez explicitement ce que vous tolérez comme usage personnel (durée, type de sites, messageries), et ce que vous interdisez. La zone grise vous expose.

RGPD et surveillance des salariés

La CNIL a publié plusieurs délibérations et guides sur la surveillance des salariés. Points clés :

  • Toute surveillance des usages numériques doit être déclarée dans le registre des traitements de l’entreprise (article 30 RGPD).
  • Les salariés doivent être informés avant la mise en place de tout outil de surveillance (principe de transparence, article 13 RGPD).
  • La surveillance doit être proportionnée à la finalité poursuivie : une surveillance exhaustive de tous les sites visités par chaque salarié en permanence ne passe pas le test de proportionnalité.
  • Les données de surveillance ne doivent pas être conservées au-delà de ce qui est nécessaire. La CNIL recommande une durée maximale de 6 mois pour les journaux d’accès réseau.

Comment rendre la charte opposable

Une charte bien rédigée mais dont la procédure formelle n’a pas été respectée n’est pas opposable. Voici les quatre étapes obligatoires.

Étape 1 : Consultation du CSE

Si votre entreprise dispose d’un Comité Social et Économique (CSE), la modification ou l’introduction d’une charte informatique qui contient des dispositions de contrôle de l’activité des salariés doit être soumise à sa consultation préalable. Le CSE dispose d’un délai pour rendre son avis. Sans cette consultation, la charte est nulle sur les points qui n’auraient pas été soumis.

Pour les entreprises de moins de 50 salariés sans CSE, cette étape ne s’applique pas, mais la prudence reste de mise : informez les salariés par tout moyen traçable.

Étape 2 : Dépôt au greffe du conseil de prud’hommes

Le règlement intérieur et ses annexes doivent être déposés auprès du greffe du conseil de prud’hommes du lieu où l’entreprise est établie. Ce dépôt est une formalité substantielle : sans lui, le document n’a pas de valeur opposable formelle en cas de litige prud’homal.

La procédure de dépôt est simple : envoi par courrier recommandé avec deux exemplaires du document ou dépôt direct au greffe.

Étape 3 : Affichage dans l’entreprise

Le règlement intérieur et ses annexes doivent être affichés dans les locaux de l’entreprise à une place convenable et accessible. Pour la charte informatique, l’affichage peut être complété ou remplacé par une publication sur l’intranet, à condition que tous les salariés y aient accès.

Étape 4 : Diffusion individuelle et accusé de réception

L’affichage ne suffit pas pour garantir la connaissance individuelle. Remettez la charte à chaque salarié contre accusé de réception daté et signé. Intégrez cette remise dans la procédure d’onboarding pour les nouveaux arrivants. Conservez les accusés de réception dans les dossiers RH.

En cas de refus de signature, notez le refus par écrit en présence d’un témoin. Le refus de signature ne libère pas le salarié de ses obligations si les autres étapes ont été respectées.

Attention : si votre charte introduit de nouvelles obligations substantielles allant au-delà d’une simple précision des règles de sécurité (par exemple une obligation de disponibilité en dehors des heures de travail via les outils numériques), un avenant au contrat de travail peut être requis. Consultez un juriste sur ce point.

La charte et votre programme de sensibilisation

La charte informatique et la sensibilisation à la cybersécurité ne sont pas deux démarches parallèles : elles se complètent et se renforcent mutuellement.

La charte crée la base légale des simulations

Pour lancer des simulations de phishing dans votre entreprise, vous avez besoin d’une base légale formelle. Sans elle, les salariés pourraient contester le caractère légal de ces tests, arguant qu’ils n’ont pas été informés de cette pratique de surveillance. La charte résout ce problème : en mentionnant explicitement que l’entreprise peut procéder à des tests de sécurité, dont des simulations d’attaques par email, vous créez le cadre juridique nécessaire.

Cette mention est également requise par la CNIL, qui considère que les simulations de phishing constituent un traitement de données à caractère personnel (les résultats par salarié) et doivent donc être documentées dans le registre des traitements et portées à la connaissance des salariés — sans révéler bien sûr le calendrier des campagnes.

La clause de signalement : un indicateur de maturité

Une charte bien conçue ne se contente pas d’interdire. Elle donne aux salariés une marche à suivre active face aux menaces. La clause de signalement des emails suspects est à ce titre particulièrement stratégique : elle demande aux salariés de faire quelque chose (transférer l’email au service informatique ou via un outil dédié) plutôt que simplement de ne pas cliquer.

Ce comportement de signalement est l’un des indicateurs les plus fiables de la maturité cybersécurité d’une équipe. Un taux de signalement élevé signifie que vos employés ont intégré les bons réflexes. Pour aller au-delà du test ponctuel, notre outil de test de sécurité email permet de mesurer ce taux en conditions réelles.

La charte comme preuve au titre de l’article 32 RGPD

L’article 32 du RGPD impose des « mesures organisationnelles appropriées » pour protéger les données personnelles. Une charte informatique à jour, opposable, connue de vos salariés et couvrant les usages actuels (télétravail, IA générative, BYOD) est une pièce maîtresse de votre dossier de conformité RGPD.

Dans la même logique, si votre entreprise est soumise à NIS2, la charte constitue la documentation formelle de vos politiques de sécurité humaines. Un auditeur ANSSI qui constate que vos salariés ont reçu et signé une charte incluant leurs obligations en matière de signalement d’incidents valide directement l’obligation 21.2.g (formation et cyber-hygiène) de la directive.

L’obligation de participer aux formations

La charte peut et doit mentionner l’obligation des salariés de participer aux formations et aux sessions de sensibilisation organisées par l’entreprise. Sans cette mention, un salarié qui refuse de participer à une simulation de phishing ou à un module de e-learning cybersécurité ne peut pas être sanctionné pour ce refus. Avec cette mention, le refus constitue un manquement à ses obligations professionnelles.

Modèle de charte informatique

Ce squelette vous donne la structure article par article. Faites-le compléter et valider par un juriste ou votre DPO avant diffusion.

CHARTE D’UTILISATION DES SYSTÈMES D’INFORMATION [Raison sociale de l’entreprise] — Version [X.X] — [Date d’entrée en vigueur]

Préambule

La présente charte a pour objet de définir les règles d’utilisation des systèmes d’information de [Raison sociale]. Elle s’applique à l’ensemble des collaborateurs, stagiaires, prestataires et toute personne ayant accès aux ressources informatiques de l’entreprise.

Elle est annexée au règlement intérieur conformément à l’article L.1321-5 du Code du travail.

Article 1 — Périmètre d’application

La présente charte s’applique à :

  • L’ensemble des équipements informatiques mis à disposition par l’entreprise (postes de travail, ordinateurs portables, smartphones, tablettes)
  • Les équipements personnels utilisés à des fins professionnelles (BYOD), selon les conditions définies à l’article 6
  • Les systèmes d’information accessibles à distance (VPN, applications en mode SaaS)
  • La messagerie professionnelle et les outils de communication internes
  • L’accès à internet depuis les réseaux de l’entreprise

[Note de rédaction : ajustez cette liste selon vos équipements et services effectivement déployés.]

Article 2 — Utilisation des équipements et ressources numériques

2.1 Les équipements et ressources numériques mis à disposition sont destinés à un usage professionnel. Un usage personnel raisonnable est toléré dans les limites suivantes : [précisez : accès aux emails personnels, navigation internet hors temps de travail, etc.].

2.2 Il est interdit de :

  • Prêter son équipement professionnel à un tiers
  • Connecter des supports amovibles non approuvés par le service informatique
  • Installer des logiciels sans autorisation préalable du service informatique
  • Désactiver ou contourner les outils de sécurité installés sur les équipements

2.3 Tout équipement perdu, volé ou endommagé doit être signalé immédiatement au service informatique, au plus tard dans les [X] heures suivant la constatation.

Article 3 — Messagerie et communications électroniques

3.1 La messagerie professionnelle est réservée aux communications liées à l’activité de l’entreprise.

3.2 Il est interdit de transmettre par messagerie électronique des données confidentielles ou des données à caractère personnel en dehors des canaux sécurisés approuvés par le service informatique.

3.3 Tout email présentant un caractère suspect doit être signalé au service informatique via [adresse email dédiée ou procédure de signalement]. Ne pas cliquer sur les liens ni ouvrir les pièces jointes d’un email suspect avant signalement.

3.4 Le collaborateur est informé que l’entreprise peut procéder à des tests de sensibilisation à la cybersécurité, dont des simulations d’envois d’emails malveillants, conformément à sa politique de sécurité. Les résultats collectifs sont utilisés pour améliorer le programme de formation.

3.5 Les emails professionnels peuvent être consultés par l’employeur dans les conditions prévues par la loi. Les emails identifiés comme personnels par le collaborateur bénéficient du respect de la vie privée.

Article 4 — Mots de passe et authentification

4.1 Chaque collaborateur est responsable de la confidentialité de ses identifiants de connexion.

4.2 Les mots de passe doivent respecter les règles définies par la politique de mots de passe de l’entreprise : [longueur minimale, complexité, durée de validité maximale].

4.3 Il est formellement interdit de partager ses identifiants, y compris avec le service informatique. Celui-ci ne demande jamais la communication d’un mot de passe.

4.4 Toute suspicion de compromission d’un identifiant doit être signalée immédiatement au service informatique pour réinitialisation.

Article 5 — Télétravail et accès distants

5.1 L’accès aux ressources internes en dehors des locaux de l’entreprise est conditionné à l’utilisation du VPN approuvé.

5.2 L’utilisation de réseaux Wi-Fi publics (gares, hôtels, cafés) est interdite sans VPN actif.

5.3 Le collaborateur en télétravail s’engage à travailler dans un environnement permettant la confidentialité des informations traitées (écran non visible de tiers, documents sensibles rangés hors de portée).

Article 6 — Utilisation des appareils personnels (BYOD)

[Si le BYOD est autorisé :]

6.1 L’utilisation d’appareils personnels à des fins professionnelles est autorisée dans les conditions suivantes : [précisez les usages autorisés].

6.2 Le collaborateur s’engage à maintenir son appareil à jour et à installer les outils de gestion requis par le service informatique ([MDM ou solution équivalente]). L’entreprise informe le collaborateur que cette solution peut permettre l’effacement à distance des données d’entreprise en cas de perte, vol ou fin de contrat.

[Si le BYOD n’est pas autorisé :]

6.1 L’utilisation d’appareils personnels pour accéder aux ressources de l’entreprise, traiter des données professionnelles ou communiquer via des outils professionnels est interdite, sauf autorisation expresse du service informatique.

Article 7 — Confidentialité et données sensibles

7.1 Le collaborateur s’engage à respecter la classification des informations en vigueur dans l’entreprise.

7.2 Toute violation de données à caractère personnel (accès non autorisé, divulgation accidentelle, perte) doit être signalée sans délai au DPO ou au service informatique, conformément à l’article 33 du RGPD.

7.3 Les obligations de confidentialité s’appliquent pendant toute la durée du contrat et après sa fin, dans les limites prévues par le contrat de travail.

Article 8 — Surveillance et droits des collaborateurs

8.1 L’entreprise met en place les outils de surveillance suivants à des fins de sécurité de ses systèmes d’information : [liste des outils : journaux d’accès réseau, filtrage des emails entrants, MDM, etc.]. Ces traitements sont déclarés dans le registre des traitements de l’entreprise.

8.2 Les collaborateurs disposent d’un droit d’accès, de rectification et d’opposition concernant les données collectées à leur sujet, dans les conditions prévues par le RGPD. Ces droits s’exercent auprès de [DPO ou contact désigné].

Article 9 — Formation et sensibilisation

9.1 Le collaborateur s’engage à participer aux formations et sessions de sensibilisation à la cybersécurité organisées par l’entreprise, y compris les modules de e-learning et les exercices de simulation.

9.2 Toute demande de dispense doit être formulée par écrit auprès de [responsable désigné].

Article 10 — Sanctions

Les manquements à la présente charte sont susceptibles de donner lieu à des sanctions disciplinaires pouvant aller jusqu’au licenciement pour faute grave, selon la gravité des faits et conformément à l’échelle des sanctions prévue par le règlement intérieur. Les faits constitutifs d’infractions pénales peuvent faire l’objet de poursuites judiciaires indépendamment des sanctions disciplinaires.

Fait à [Ville], le [Date] [Signature du représentant légal] [Visa du CSE si applicable]

Ce modèle est un point de départ. Votre juriste ou votre DPO doit l’adapter à votre situation spécifique : secteur d’activité, taille de l’entreprise, outils de surveillance déployés, et conventions collectives applicables.

FAQ

La charte informatique est-elle obligatoire pour les PME ?

La charte informatique n’est pas imposée par un texte unique qui en ferait une obligation absolue pour toutes les entreprises. Mais sans elle, votre entreprise se retrouve sans outil juridique pour sanctionner les abus, sans base légale pour surveiller les usages numériques, et sans protection en cas de litige avec un salarié après un incident de sécurité. La CNIL recommande explicitement la charte informatique comme mesure de conformité RGPD (article 32). Toute entreprise traitant des données personnelles a donc un intérêt direct à en avoir une.

Quelles sanctions peut-on prévoir en cas de manquement à la charte ?

Les sanctions doivent respecter le droit du travail : avertissement, mise à pied, voire licenciement pour faute grave en cas de manquement grave (divulgation de données confidentielles, téléchargement de malwares, fraude). Pour être applicables, ces sanctions doivent figurer dans le règlement intérieur ou dans la charte annexée à celui-ci, et avoir été portées à la connaissance du salarié avant la faute. Un licenciement pour faute dont la charte n’était pas opposable sera requalifié par les prud’hommes.

Comment gérer le BYOD (utilisation d’appareils personnels) dans la charte ?

Le BYOD soulève deux difficultés juridiques majeures : la vie privée du salarié sur son appareil personnel, et la sécurité des données d’entreprise. La charte doit définir les usages autorisés, les obligations de l’employé (mise à jour du système, installation d’un MDM, signalement en cas de perte ou vol), et les droits de l’employeur (effacement à distance en cas de départ, dans les limites prévues). Sans clause BYOD, l’employeur ne peut pas légalement imposer de restrictions sur un appareil qui ne lui appartient pas.

La charte informatique s’applique-t-elle aux télétravailleurs ?

Oui, la charte s’applique aux télétravailleurs au même titre qu’aux employés sur site. Mais elle doit traiter leurs cas spécifiques : utilisation du réseau domestique ou d’un réseau public, connexion via VPN, règles sur les impressions de documents sensibles à domicile, et gestion des écrans en environnement non contrôlé. L’article L.1222-9 du Code du travail encadre le télétravail et renforce l’obligation pour l’employeur de fournir les outils sécurisés nécessaires. La charte doit préciser les conditions d’accès distant aux systèmes d’information.

Un salarié peut-il refuser de signer la charte informatique ?

Techniquement, oui : un salarié peut refuser de signer l’accusé de réception de la charte. Mais le refus de signature ne le dégage pas de ses obligations si la charte a été annexée au règlement intérieur selon la procédure légale. L’opposabilité repose sur la procédure formelle (consultation CSE, dépôt au greffe, affichage) et la diffusion individuelle, pas sur la signature du salarié. En revanche, si la charte instaure de nouvelles obligations substantielles modifiant le contrat de travail, un avenant signé peut être requis — raison de plus pour faire relire le document par un juriste.

Quelle est la relation entre la charte informatique et le RGPD ?

La charte informatique et le RGPD sont complémentaires. L’article 32 du RGPD oblige les entreprises à mettre en place des mesures techniques et organisationnelles adaptées pour protéger les données personnelles. La charte est l’une de ces mesures organisationnelles : elle informe les salariés de leurs droits et obligations, fixe les règles d’utilisation des systèmes qui traitent des données personnelles, et précise les modalités de surveillance par l’employeur. En cas de contrôle de la CNIL après un incident, une charte bien rédigée et opposable constitue une preuve de diligence de l’entreprise.

Faut-il mettre à jour la charte après une cyberattaque ou un changement technologique ?

Oui, et c’est souvent omis. La charte doit évoluer avec vos usages et les menaces. L’introduction du télétravail massif, la généralisation des outils d’IA générative, l’arrivée de NIS2 : chaque évolution crée de nouveaux risques et de nouvelles obligations qui doivent se refléter dans la charte. Une charte de 2019 ne couvre pas les usages de 2026. Prévoyez une révision annuelle systématique, et une révision exceptionnelle après tout incident significatif ou changement de périmètre technologique.

Vos salariés ont une charte — mais appliquent-ils les bons réflexes face à un email malveillant ? La charte pose le cadre légal. Les simulations de phishing testent les comportements réels. Lancez votre première campagne gratuitement — résultats en 48h, sans installation.

Sources

  • Code du travail, article L.1321-5 et suivants — legifrance.gouv.fr
  • Cour de cassation, Chambre sociale, 2 octobre 2001 (arrêt Nikon) — courdecassation.fr
  • Cour de cassation, Chambre sociale, 26 janvier 2016 — courdecassation.fr
  • Cour de cassation, Chambre sociale, 23 octobre 2019 — courdecassation.fr
  • CNIL, Délibération sur la surveillance des salariés, 2024 — cnil.fr
  • CNIL, Guide pratique pour les employeurs, 2025 — cnil.fr
  • CNIL, Recommandations sur les mesures de sécurité, article 32 RGPD — cnil.fr
  • Règlement (UE) 2016/679 du 27 avril 2016 (RGPD), articles 13, 30, 32, 33
  • Directive (UE) 2022/2555 (NIS2), articles 20 et 21 — eur-lex.europa.eu
  • ANSSI, Guide d’hygiène informatique, 2023 — cyber.gouv.fr
  • ANSSI, Référentiel NIS2, 2025 — cyber.gouv.fr

Simuler une attaque phishing sur vos équipes | Reconnaître un email frauduleux : guide pratique