Une charte informatique est le document qui fixe les règles d’usage du système d’information de l’entreprise : messagerie, internet, matériel, mots de passe, télétravail, données personnelles. Voici un modèle complet, directement adaptable, suivi des règles à respecter pour lui donner une véritable valeur juridique — car une charte non opposable ne sert à rien le jour où vous devez sanctionner un salarié ou justifier un contrôle des fichiers.
Point clé souvent ignoré : pour être opposable aux salariés avec des sanctions disciplinaires, la charte doit être annexée au règlement intérieur et suivre la procédure de l’article L1321-4 du code du travail (consultation du CSE, dépôt au greffe du conseil de prud’hommes, transmission à l’inspection du travail). L’article L1321-5 du même code prévoit expressément que les documents annexés au règlement intérieur suivent ce régime.
Pourquoi une charte informatique est indispensable
Trois raisons juridiques précises :
- Sécurité et accountability RGPD. Les articles 24 et 32 du RGPD imposent des mesures organisationnelles : la charte est la mesure organisationnelle de base, citée par la CNIL dans son guide de la sécurité des données personnelles (fiche « Sensibiliser les utilisateurs »). Elle complète votre politique de sécurité (PSSI).
- Contrôle de l’activité des salariés. La Cour de cassation juge que les fichiers créés par le salarié sur l’ordinateur professionnel sont présumés professionnels sauf s’ils sont identifiés comme personnels (Cass. soc., 18 octobre 2006, n° 04-48.025). La charte organise ce régime et les modalités de contrôle, dans le respect de l’arrêt Nikon (Cass. soc., 2 octobre 2001, n° 99-42.942) qui protège le secret des correspondances personnelles même au travail.
- Fondement des sanctions disciplinaires. Sans charte opposable, sanctionner un usage abusif d’internet ou une violation de sécurité est fragile devant le conseil de prud’hommes.
Modèle complet de charte informatique
CHARTE D’UTILISATION DES RESSOURCES INFORMATIQUES ET NUMÉRIQUES Annexe au règlement intérieur de [Société] — version [1.0] du [date]
1. Objet et champ d’application. La présente charte définit les règles d’utilisation des ressources informatiques et de communication de [Société] : postes de travail, équipements mobiles, messagerie, internet, applications, comptes d’accès. Elle s’applique à tout utilisateur : salariés, intérimaires, stagiaires, prestataires disposant d’un accès.
2. Conditions d’accès. L’accès aux ressources est strictement professionnel et subordonné à l’attribution d’un compte individuel. Les identifiants sont personnels, confidentiels et incessibles. Tout utilisateur est responsable de l’usage fait de son compte. Les mots de passe respectent la politique de l’entreprise ([longueur minimale, gestionnaire de mots de passe, authentification multifacteur]) conformément à la recommandation CNIL sur les mots de passe (délibération n° 2022-100 du 21 juillet 2022).
3. Usage professionnel et usage personnel résiduel. Les ressources sont destinées à un usage professionnel. Un usage personnel résiduel et raisonnable est toléré s’il n’affecte ni la sécurité, ni la productivité, ni l’image de l’entreprise. Les fichiers et dossiers personnels doivent être explicitement identifiés par la mention « Personnel » ; à défaut, ils sont présumés professionnels et accessibles à l’employeur.
4. Sécurité. Chaque utilisateur doit : verrouiller sa session en cas d’absence ; ne pas désactiver les protections (antivirus, chiffrement, mises à jour) ; ne pas installer de logiciel sans autorisation de la DSI ; ne pas utiliser de services cloud ou d’outils d’IA générative non validés pour traiter des données de l’entreprise ; signaler sans délai tout incident ou suspicion d’incident à [contact], y compris la perte ou le vol d’un équipement.
5. Messagerie et internet. Sont interdits : la consultation ou la diffusion de contenus illicites ; l’envoi massif non sollicité ; l’usurpation d’identité ; le contournement des dispositifs de filtrage. Les courriels personnels doivent porter la mention « Personnel » en objet.
6. Données personnelles. Tout traitement de données personnelles s’effectue conformément au RGPD et aux procédures internes : collecte limitée au nécessaire, pas d’export hors des outils validés, respect des durées de conservation, transmission des demandes d’exercice de droits à [DPO/référent]. Les utilisateurs sont tenus à une obligation de confidentialité sur les données auxquelles ils accèdent.
7. Contrôles et administration. L’entreprise met en œuvre des dispositifs de journalisation, de filtrage et de supervision à des fins de sécurité et de bon fonctionnement du SI. Les administrateurs, tenus à la confidentialité, n’accèdent aux contenus que dans la mesure nécessaire à leurs missions. Les contrôles individuels sont réalisés dans le respect de l’article L1121-1 du code du travail (proportionnalité) et de la vie privée résiduelle des salariés ; les fichiers identifiés « Personnel » ne sont ouverts qu’en présence de l’utilisateur ou après convocation régulière.
8. Équipements mobiles et télétravail. Les équipements nomades sont chiffrés. Le travail à distance respecte la charte télétravail de l’entreprise. L’usage d’équipements personnels (BYOD) est [interdit / soumis à autorisation et aux mesures définies par la DSI].
9. Départ de l’utilisateur. À la fin du contrat ou de la mission, l’utilisateur restitue les équipements et ne conserve aucune copie des données de l’entreprise. Les comptes sont désactivés au plus tard le jour du départ.
10. Sanctions. Tout manquement expose son auteur à des sanctions disciplinaires prévues au règlement intérieur, sans préjudice de poursuites civiles ou pénales (notamment articles 323-1 et suivants du code pénal sur les atteintes aux systèmes de traitement automatisé de données).
11. Entrée en vigueur. La présente charte, annexée au règlement intérieur, a été soumise au CSE le [date], déposée au greffe du conseil de prud’hommes de [ville] et transmise à l’inspection du travail le [date].
Comment adapter ce modèle
Suivez la procédure d’opposabilité. C’est le point qui conditionne tout : consultation du CSE (article L2312-8 du code du travail), dépôt au greffe, transmission à l’inspection du travail, publicité auprès des salariés (article R1321-1). Une charte simplement diffusée par email reste utile comme mesure de sensibilisation, mais ne fonde pas de sanction disciplinaire sûre.
Alignez la charte sur vos outils réels. Interdire les clouds personnels alors que l’entreprise ne fournit aucun outil de partage ou de stockage sécurisé — tel qu’un coffre-fort numérique —, c’est fabriquer de la non-conformité. Mettez la charte en cohérence avec votre cartographie du SI et votre politique de sécurité.
Traitez les dispositifs de surveillance séparément. Vidéosurveillance, géolocalisation des véhicules et flottes, DLP : chaque dispositif de contrôle doit être proportionné (article L1121-1), inscrit au registre des traitements et faire l’objet d’une information individuelle des salariés (article L1222-4 du code du travail). La charte mentionne leur existence, elle ne remplace pas l’information RGPD des articles 12 à 14 — voir notre guide RGPD et ressources humaines et notre dossier sur la gestion RH et la paie.
Ajoutez un volet IA générative. En 2026, c’est devenu indispensable : listez les outils autorisés et interdisez l’injection de données clients ou salariés dans des outils non validés.
Erreurs courantes
- Copier une charte sans procédure d’annexion : inopposable pour sanctionner.
- Interdire tout usage personnel : la jurisprudence Nikon protège une sphère de vie privée résiduelle au travail ; une interdiction absolue est à la fois irréaliste et fragile.
- Prévoir un accès libre de l’employeur à tous les contenus : les fichiers « Personnel » et les correspondances privées restent protégés (Cass. soc., 2 octobre 2001 ; Cass. soc., 17 mai 2005, n° 03-40.017).
- Oublier prestataires et stagiaires : faites signer un engagement de respect de la charte à tout tiers disposant d’un accès.
- Ne jamais la mettre à jour : une charte de 2015 qui ignore le télétravail, le BYOD et l’IA ne protège plus personne. Révisez-la tous les 2 ans. Legiscope permet de documenter ces mesures organisationnelles et de les relier à vos traitements dans votre registre.
FAQ
La charte informatique est-elle obligatoire ?
Aucun texte ne l’impose expressément, mais elle est la traduction opérationnelle des obligations de sécurité des articles 24 et 32 du RGPD et l’outil de preuve central en contentieux prud’homal. La CNIL la recommande explicitement dans son guide sécurité. En pratique, son absence est relevée dans les audits de conformité.
Faut-il faire signer la charte par chaque salarié ?
Si elle est annexée au règlement intérieur, elle s’impose sans signature individuelle. La signature (ou l’émargement lors d’une formation) reste une bonne pratique probatoire, et elle est nécessaire pour les tiers non salariés (prestataires, stagiaires) auxquels le règlement intérieur ne s’applique pas.
L’employeur peut-il lire les emails des salariés ?
Oui pour les emails professionnels, présumés tels dès lors qu’ils ne sont pas identifiés comme personnels (Cass. soc., 18 octobre 2006). Non pour les correspondances marquées « Personnel », sauf risque ou événement particulier et selon des modalités strictes. La charte doit décrire ce régime pour sécuriser les contrôles.
Quelle sanction en cas de violation de la charte par un salarié ?
Celles du règlement intérieur : avertissement, mise à pied, voire licenciement pour faute selon la gravité (la jurisprudence admet le licenciement pour usage abusif d’internet ou violation grave de sécurité). Encore faut-il que la charte soit opposable — d’où la procédure d’annexion.
Conclusion
Une charte informatique efficace tient en une dizaine d’articles : comptes individuels, régime de l’usage personnel « identifié », règles de sécurité concrètes, encadrement des contrôles, sanctions. Le modèle ci-dessus couvre l’essentiel ; votre travail consiste à l’aligner sur vos outils réels et à dérouler la procédure d’annexion au règlement intérieur. C’est un des documents fondamentaux de votre mise en conformité RGPD.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial