La charte informatique est devenue un document incontournable dans la gestion des ressources humaines et la sécurité des systèmes d’information. Pourtant, trop d’entreprises se contentent d’un modèle générique téléchargé sur internet, sans en mesurer les enjeux juridiques réels.
Mal rédigée, la charte peut se retourner contre l’employeur : preuves écartées en contentieux prud’homal, sanctions disciplinaires annulées, risques de requalification.
Bien rédigée, elle devient un véritable bouclier.
Voici 5 clauses qui font la différence avec, pour chaque clause, un exemple.
1. Le champ d’application : définir précisément ce qui est couvert par la charte
C’est la clause préliminaire sans laquelle toutes les autres vacillent. Elle détermine à la fois les personnes soumises à la charte et les outils qu’elle régit. Une rédaction approximative crée immédiatement une zone grise dont le salarié ne manquera pas de se prévaloir.
Sur le plan des personnes, la charte ne doit pas se limiter aux seuls salariés en contrat à durée indéterminée. L’entreprise accueille aussi des intérimaires, des stagiaires, des prestataires de service qui accèdent au système d’information dans le cadre de leur mission. Les exclure du champ d’application revient à ouvrir une brèche dans le dispositif. L’article L. 1321-5 du code du travail, qui soumet la charte à la procédure du règlement intérieur lorsqu’elle fixe des règles générales et permanentes de discipline, ne distingue pas selon la nature du lien contractuel.
Sur le plan des outils, la définition du système d’information couvert doit intégrer aussi bien les équipements physiques (postes fixes et nomades, tablettes, smartphones professionnels, périphériques, supports amovibles, etc.) que les outils dématérialisés : messageries, applications métier, outils collaboratifs, accès VPN, services en ligne. Une attention particulière doit être portée aux équipements personnels des salariés connectés au réseau de l’entreprise ou contenant des données professionnelles : leur intégration explicite dans le périmètre permet d’asseoir les obligations de sécurité afférentes.
Exemple de clause : « La présente charte s’applique à toute personne accédant au système d’information de [Société], quelle que soit la nature de son lien avec l’entreprise : salarié, intérimaire, stagiaire, prestataire ou sous-traitant. Elle couvre l’ensemble des équipements informatiques et de communication mis à disposition par l’entreprise, ainsi que tout matériel personnel (tels que ordinateur portable, téléphone, tablette, clé USB) connecté au réseau de l’entreprise ou utilisé pour accéder à ses ressources ou à ses données. Chaque utilisateur est personnellement responsable du respect des règles définies aux présentes pour les ressources placées sous sa responsabilité directe. »
Point de vigilance pour l’employeur : veillez à ce que la charte soit effectivement remise et signée par l’ensemble des catégories d’utilisateurs visés, y compris les intervenants externes. Une charte opposable à votre salarié CDI mais non portée à la connaissance du prestataire qui a causé l’incident ne vous protège pas.
2. La clause de la charte informatique sur la présomption d’un usage professionnel des outils
C’est sans doute la clause la plus stratégique pour l’employeur, celle qui conditionne directement sa capacité à accéder aux données stockées sur ses propres outils. La Cour de cassation a construit depuis les arrêts Nikon (Cass. soc., 2 oct. 2001) et Cathnet Science (Cass. soc., 17 mai 2005) une jurisprudence qui distingue nettement les fichiers et messages identifiés comme personnels par le salarié qui jouissent d’une protection au titre du secret des correspondances de ceux qui ne le sont pas, présumés professionnels et librement accessibles par l’employeur même en l’absence de l’intéressé.
Cette distinction n’est toutefois opérante que si la charte l’a clairement posée et organisée. L’employeur qui souhaite accéder à distance aux données d’un poste de travail pour les besoins de l’entreprise doit pouvoir s’appuyer sur une clause explicite qui, d’une part, rappelle la présomption du caractère professionnel de l’usage et, d’autre part, impose au salarié un mécanisme précis d’identification de ses données personnelles. À défaut, le risque d’une atteinte à la vie privée sanctionnée par les juges est réel.
La même logique s’applique à la messagerie professionnelle. La Cour de cassation a admis que les courriels non classés dans un dossier identifié comme personnel sont présumés professionnels (Cass. soc., 1er juin 2017, n° 15-23.522). La charte doit impérativement organiser cette présomption de manière opérationnelle, en précisant la forme que doit prendre l’identification (par ex., mention « PERSONNEL » ou « PRIVÉ » dans l’objet du message ou le nom du dossier) pour être effective.
Cette clause est également le bon endroit pour intégrer les règles d’usage des outils d’intelligence artificielle, sujet que la majorité des chartes informatiques ignorent encore alors qu’il constitue l’un des risques juridiques les plus actuels pour l’entreprise.
Lorsque l’entreprise a déployé un outil d’IA maîtrisé, elle a un intérêt direct à ce que ses salariés utilisent exclusivement cet outil référencé, à l’exclusion de tout service d’IA grand public non encadré.
L’enjeu est double :
- d’abord la confidentialité des données, les services grand public pouvant utiliser les conversations soumises pour entraîner leurs modèles, ce qui expose potentiellement des informations stratégiques, des données clients ou des secrets d’affaires ;
- ensuite la conformité au RGPD, puisque l’utilisation d’un outil non référencé par l’employeur peut constituer un traitement de données personnelles non déclaré dont la responsabilité rejaillit sur l’entreprise en tant que responsable de traitement.
L’interdiction d’utiliser des outils d’IA non référencés doit donc être formulée de manière explicite dans la charte, en énonçant clairement les risques poursuivis (par ex., fuite de données, violation de la confidentialité, non-conformité réglementaire) pour asseoir la légitimité et la proportionnalité de la restriction au regard de l’article L. 1321-3 du code du travail. La charte doit également préciser quels outils sont autorisés et dans quelles conditions, de façon à ne pas laisser le salarié dans une insécurité opérationnelle qui l’inciterait à contourner la règle. En l’absence de jurisprudence encore stabilisée sur ce point précis, la solidité de la clause repose entièrement sur la clarté de la rédaction et sur la cohérence avec la politique de protection des données de l’entreprise.
Exemple de clause : « Les équipements informatiques et de communication mis à la disposition des utilisateurs constituent des outils de travail destinés à l’exercice de l’activité professionnelle. Les fichiers, dossiers, messages et données qui y sont stockés ou transitent par ces outils sont présumés avoir un caractère professionnel. L’employeur est habilité à y accéder à tout moment, y compris en l’absence de l’utilisateur concerné, pour les besoins de l’activité, de la sécurité du système ou de la défense des intérêts de l’entreprise.
Un usage personnel limité, raisonnable et occasionnel est toléré, à la condition de ne pas perturber l’exécution du travail ni compromettre la sécurité du système. Pour bénéficier de la protection attachée à la vie privée, l’utilisateur doit identifier ses fichiers, dossiers et messages personnels par la mention explicite « PERSONNEL » ou « PRIVÉ » dans leur intitulé. Toute donnée non ainsi identifiée sera réputée professionnelle et accessible à l’employeur sans que l’utilisateur puisse en invoquer le caractère privé.
Usage des outils d’intelligence artificielle. Dans le cadre de son activité professionnelle, l’utilisateur est autorisé à recourir exclusivement aux outils d’intelligence artificielle référencés et mis à disposition par l’entreprise, dont la liste est tenue à jour par le service informatique et consultable sur [intranet / support désigné]. Il est expressément interdit d’utiliser, à des fins professionnelles, tout service d’IA grand public non référencé (tel que, à titre d’exemple, les plateformes conversationnelles en accès libre) pour traiter, générer ou analyser des données liées à l’activité de l’entreprise, qu’il s’agisse de données confidentielles, de données clients, de documents internes ou de toute autre information relevant du secret des affaires. Cette interdiction vise à prévenir tout risque de fuite de données et de non-conformité au RGPD résultant d’un traitement opéré par un prestataire tiers non habilité. Tout manquement à cette règle est susceptible de constituer une faute disciplinaire. »
Point de vigilance pour l’employeur : n’interdisez pas tout usage personnel sous peine de vous heurter à l’article L. 1321-3 du code du travail, qui prohibe les restrictions aux libertés individuelles qui ne seraient pas justifiées par la nature du travail à accomplir. La tolérance d’un usage limité est à la fois plus réaliste et plus sûre juridiquement qu’une interdiction absolue. Sur le volet IA, veillez à tenir la liste des outils référencés à jour et à la rendre facilement accessible aux salariés : une interdiction sans alternative opérationnelle crédible est difficile à faire respecter et expose l’employeur à une contestation de la proportionnalité de la mesure.
3. La clause de cybersurveillance : transparence et finalités
L’employeur qui souhaite surveiller l’utilisation du système d’information (consultation des logs de connexion, filtrage des flux internet, analyse des volumes d’échange par messagerie) doit impérativement formaliser ce dispositif dans la charte, au risque de voir les preuves ainsi collectées déclarées irrecevables en justice.
La jurisprudence récente de la Cour de cassation est particulièrement instructive à cet égard.
Cass., Soc., 9 avril 2025, n° 23-13.159 : Dans un arrêt du 9 avril 2025, elle a jugé illicite la preuve produite par un employeur qui avait exploité des fichiers de journalisation pour contrôler individuellement l’activité d’un salarié, alors que ces logs avaient été collectés à des fins de sécurité du réseau : la réutilisation à d’autres fins que celles annoncées constitue un détournement de finalité prohibé par l’article 5 du RGPD.
Cass., Soc., 22 janvier 2025, n° 22-15.793 : De même, le 22 janvier 2025, la Cour a écarté des données issues d’un logiciel de gestion d’appels utilisées pour contrôler l’activité de salariées, sans que celles-ci aient été préalablement informées de cette utilisation.
Cass., Soc., 21 mai 2025, n° 22-19.925 : À l’inverse, la chambre sociale a admis, le 21 mai 2025, la recevabilité d’enregistrements issus d’un système de vidéoprotection dès lors que les salariés avaient été informés du dispositif et que les images avaient été réutilisées dans un but compatible avec la finalité initiale de sécurité des personnes et des biens.
La charte doit donc :
- décrire précisément les catégories de données collectées, les finalités poursuivies, les durées de conservation et les destinataires conformément aux articles 13 et 14 du RGPD
- mentionner que ces données pourront, le cas échéant, être utilisées à des fins disciplinaires ou dans le cadre d’une procédure judiciaire, ce qui constitue une finalité compatible avec leur collecte initiale à condition d’être annoncée
Exemple de clause : « Dans le but d’assurer la sécurité du système d’information, de prévenir les usages non autorisés des ressources de l’entreprise et de garantir le respect de ses obligations légales, [Société] met en œuvre des dispositifs de traçabilité et de contrôle. Ces dispositifs permettent notamment de collecter et conserver les journaux de connexion, les données relatives aux flux de messagerie entrants et sortants, ainsi que les statistiques de navigation sur internet. Ces traitements de données à caractère personnel sont fondés sur l’intérêt légitime de l’entreprise au sens de l’article 6 du RGPD. Ils ont pour finalités : la sécurisation du réseau, la détection d’incidents, la prévention des abus et, le cas échéant, la constitution de preuves dans le cadre de procédures disciplinaires ou judiciaires. Les données collectées sont conservées pendant une durée de [X mois]. Les utilisateurs disposent d’un droit d’accès, de rectification et d’opposition qu’ils peuvent exercer auprès de [contact DPO/RH]. Ces dispositifs ne peuvent en aucun cas aboutir à placer les utilisateurs sous surveillance permanente et continue. »
Point de vigilance pour l’employeur : la consultation préalable du CSE est obligatoire avant la mise en place de tout dispositif de contrôle de l’activité des salariés (article L. 2312-38 du code du travail). Son absence rend les preuves issues du dispositif irrecevables. Cette formalité doit être documentée et précéder l’entrée en vigueur de la charte.
4. La clause de sécurité de la charte informatique
Cette clause est celle qui permet à l’employeur de qualifier une faute disciplinaire lorsqu’un salarié a compromis la sécurité du système d’information. Sans elle, il est difficile de reprocher à un salarié un comportement (tels que le partage de mot de passe, connexion d’une clé USB infectée, téléchargement non autorisé) dont les conséquences peuvent être considérables.
La charte doit imposer des règles précises d’authentification : obligation de créer un mot de passe respectant un niveau de complexité défini, interdiction de le communiquer à quiconque y compris aux membres de sa propre équipe, obligation de verrouiller sa session en cas d’absence même momentanée du poste. Ces règles, en apparence techniques, ont une portée juridique directe : leur violation caractérisée peut constituer une faute grave justifiant un licenciement sans préavis ni indemnités, à condition qu’elles aient été clairement portées à la connaissance du salarié.
La clause doit également encadrer la connexion de supports externes (par ex., les clés USB, disques durs portables, services de stockage en ligne tels que Dropbox ou Google Drive) dont l’utilisation non maîtrisée est l’un des principaux vecteurs d’infection ou de fuite de données. La charte peut prévoir une autorisation préalable du service informatique pour tout support externe, voire une interdiction totale pour certaines catégories de données sensibles.
Enfin, l’obligation de signalement immédiat de tout incident de sécurité (tels que la suspicion de compromission d’un compte, comportement anormal du poste, réception d’un message de phishing) doit figurer explicitement dans la charte. Elle s’inscrit dans la logique du principe d’accountability de l’article 5 du RGPD et renforce la responsabilité individuelle de chaque utilisateur dans la protection du système.
Exemple de clause : « Chaque utilisateur est responsable de la confidentialité de ses paramètres d’accès au système d’information. Il lui est expressément interdit de communiquer son identifiant et son mot de passe à un tiers, quelle que soit la nature de sa relation avec ce tiers. Le mot de passe doit respecter les règles de complexité définies par le service informatique et être modifié à intervalles réguliers selon les consignes en vigueur. L’utilisateur doit verrouiller sa session dès qu’il quitte son poste de travail, même temporairement.
La connexion de tout support de stockage externe (clé USB, disque dur portable, support optique) ou l’utilisation de services de stockage en ligne non référencés par le service informatique est soumise à autorisation préalable écrite de ce dernier. Tout incident de sécurité avéré ou suspecté (tels que la compromission d’un compte, comportement anormal d’un équipement, réception d’un message frauduleux) doit être signalé sans délai au service informatique. Le non-respect de ces obligations est susceptible de constituer une faute disciplinaire, dont la gravité sera appréciée en fonction des conséquences pour le système d’information de l’entreprise. »
Point de vigilance pour l’employeur : une clause de sécurité ne vaut que si elle est accompagnée d’une formation des utilisateurs. Un salarié qui n’a jamais reçu les consignes opérationnelles du service informatique sur la complexité des mots de passe ou la gestion des supports externes pourra contester la qualification de faute grave en faisant valoir qu’il n’avait pas les moyens de respecter des règles qu’on ne lui avait pas expliquées.
5. La clause de sanctions et d’utilisation des données comme moyen de preuve
C’est la clause de fermeture du dispositif. Elle remplit deux fonctions complémentaires : avertir le salarié des conséquences disciplinaires attachées au non-respect de la charte, et légitimer l’utilisation des données issues du système d’information dans le cadre d’une procédure prud’homale ou pénale.
Sur le volet disciplinaire, la clause doit rappeler que les manquements à la charte peuvent entraîner des sanctions proportionnées à leur gravité (de l’avertissement au licenciement pour faute grave) et que la procédure disciplinaire applicable est celle prévue aux articles L. 1332-1 et suivants du code du travail. Le renvoi à une échelle des sanctions n’est pas indispensable, mais il est fortement recommandé pour démontrer la proportionnalité de la réponse disciplinaire choisie.
Sur le volet probatoire, la jurisprudence récente de la Cour de cassation offre un cadre de plus en plus précis.
Cass. soc. 22 septembre 2021, n° 19-26.144 : La chambre sociale a définitivement consacré la recevabilité des preuves issues de dispositifs de surveillance, à la double condition que l’atteinte à la vie privée soit indispensable à l’exercice du droit à la preuve et proportionnée au but poursuivi.
Cass., Soc., 26 février 2025, n° 22-24.474 : À l’inverse, la vidéosurveillance clandestine reste sanctionnée, la Cour l’a encore rappelé le 26 février 2025, en écartant la retranscription d’enregistrements réalisés à l’insu du salarié comme procédé déloyal. La charte doit donc, d’un côté, annoncer que les données collectées conformément à l’article sur la cybersurveillance pourront être utilisées en justice, et de l’autre, s’interdire tout procédé clandestin ou disproportionné.
Exemple de clause : « Tout manquement aux règles définies par la présente charte est susceptible d’entraîner des sanctions disciplinaires, dont la nature et la gravité seront appréciées en fonction des circonstances et des conséquences du manquement pour l’entreprise, ses collaborateurs ou ses partenaires. Ces sanctions peuvent aller de l’avertissement écrit au licenciement pour faute grave, dans le respect de la procédure légale applicable. La violation de certaines dispositions légales référencées dans la charte peut en outre exposer son auteur à des poursuites civiles et pénales indépendantes de toute procédure disciplinaire.
Les données issues des dispositifs de contrôle décrits à l’article [X] de la présente charte, collectées conformément aux finalités qui y sont annoncées, pourront être utilisées par l’entreprise à titre de moyen de preuve dans le cadre de toute procédure disciplinaire, prud’homale ou judiciaire dans laquelle ses intérêts seraient en jeu. Cette utilisation interviendra dans le respect du principe de proportionnalité et des droits et libertés des personnes concernées. »
Point de vigilance pour l’employeur : la clause de sanctions ne suffit pas à rendre toute preuve recevable. Si les données ont été collectées à l’aide d’un dispositif dont les salariés n’ont pas été préalablement informés, ou dont les finalités réelles diffèrent de celles annoncées, leur recevabilité en justice reste incertaine. La cohérence entre la clause de surveillance et la clause de sanctions est la condition d’efficacité de l’ensemble du dispositif.
La charte informatique n’est pas un document de communication interne : c’est un acte juridique à part entière, soumis à la procédure du règlement intérieur lorsqu’elle comporte des règles disciplinaires (articles L. 1321-4 et L. 1321-5 du code du travail), et dont la valeur dépend directement de la rigueur de sa rédaction et du respect des formalités de consultation et de dépôt. Les cinq clauses présentées ici constituent le socle minimal. Leur efficacité repose sur leur cohérence interne et sur la réalité de leur mise en œuvre au quotidien.
Les exemples de clauses proposés dans cet article ont une vocation pédagogique et ne constituent pas un conseil juridique. Ils doivent être adaptés à la structure, au secteur d’activité et aux outils propres à chaque entreprise avant toute utilisation. Si vous avez besoin d’assistance pour relire votre charte informatique actuelle, la modifier ou la rédiger intégralement, vous pouvez m’adresser votre demande ou réserver un entretien en cliquant ici.
L’auteur
Avocat au Barreau de Paris (8 ans d’expérience), Maître Julien Riant est expert en droit de la propriété intellectuelle et du numérique. Également chargé d’enseignement à l’université Paris-Cité, Versailles et de Nantes, il apporte une vision stratégique et rigoureuse aux procédures complexes, à Paris et partout en France, que ce soit au stade de la mise en demeure qu’en phase de litige.