Charte informatique 2026 : modèle gratuit conforme RGPD et NIS2

Une charte informatique permet d’informer les utilisateurs d’un système d’information des règles qui s’imposent quant à l’utilisation de ces ressources. Juridiquement, la charte permet de fixer de manière transparente les conditions dans lesquelles la responsabilité des utilisateurs peut être mise en cause. Corrélativement, elle permet également de protéger la responsabilité des dirigeants (le DSI, le CEO). La charte est là pour résoudre de nombreuses problématiques, dont celle épineuse, liée à limitation de l’usage des ressources informatiques de l’organisation à des fins privées par les usagers, qui suscite beaucoup de jurisprudence.

Vous trouverez ci-dessous un modèle type de charte informatique que vous pouvez adapter et réutiliser au sein de votre organisation. Ce modèle pourra vous servir de base de travail et de réflexion pour gérer l’utilisation des ressources informatiques internes.

La charte informatique doit permettre de gérer un certain nombre de problèmes :

• comment les ressources informatiques peuvent être utilisées par les utilisateurs (et éviter la fraude informatique)
• l’application interne du RGPD - ce pour quoi vous devrez utiliser un logiciel RGPD qui vous permet d’éviter des centaines d’heures à écrire de la documentation
• comment gérer la propriété intellectuelle de l’entreprise, et celle de tiers
• les règles internes relatives aux communications électroniques…

Il est important de prévoir également les modalités d’entrée en vigueur et de révision de la charte. Sa mise en oeuvre doit être faite conformément aux procédures prévues en droit du travail (adoption dans le respect de l’art. 1321-4 du code du travail, information du salarié, cf. art. 1222-4 du code du travail, proportionnalité des mesures en place - art. 1321-3 du code du travail et information du comité d’entreprise). Pour être opposable, elle doit découler du règlement intérieur de l’organisation.

PREAMBULE

L’entreprise / l’association / XXX met à disposition de ses utilisateurs un système d’information (SI) et des moyens informatiques nécessaires à l’exécution de ses missions et de ses activités.

Celui-ci comprend :

• un réseau informatique
• un réseau téléphonique
• (LISTER LES AUTRES ACTIFS RÉGIS PAR LA CHARTE)

Dans le cadre de leurs fonctions, les utilisateurs sont conduits à utiliser les ressources informatiques mises à leur disposition par l’entreprise.

Dans un objectif de transparence, la présente charte définit les règles dans lesquelles ces ressources peuvent être utilisées.

Article 1 : Utilisateurs concernés

La présente charte s’applique à l’ensemble des utilisateurs du système d’information dont notamment :

• les dirigeants et mandataires sociaux
• les salariés
• les intérimaires
• les stagiaires
• les employés de sociétés prestataires
• les visiteurs occasionnels

Il appartient aux salariés de l’organisation de s’assurer de faire accepter la présente charte à toute personne à laquelle ils permettraient l’accès au SI.

Article 2 : Périmètre du système d’information

Le système d’information est composé des ressources suivantes :

• ordinateurs
• téléphones
• réseau informatique (serveurs, routeurs et connectique)
• photocopieurs
• logiciels
• données informatisées
• messagerie
• …

Aux fins d’assurer la sécurité informatique du SI, tout matériel connecté au SI de l’entreprise, y compris le matériel personnel des utilisateurs indiqués à l’article 1, est régi par la présente charte.

NOTE: il faut définir ici le périmètre des biens qui sont soumis aux règles de la charte. Idéalement il faut également prévoir les règles spécifiques qui régissent l’utilisation du SI par les IRP, l’organisation d’élections ou le télétravail qui peuvent relever de chartes distinctes

Article 3 : Règles générales d’utilisation

Le SI doit être utilisé à des fins professionnelles, conformes aux objectifs de l’organisation, sauf exception prévue par les présentes, ou par la loi.

Les utilisateurs ne peuvent en aucun cas utiliser le SI de l’organisation pour se livrer à des activités concurrentes, et/ou susceptibles de porter préjudice à l’organisation de quelque manière que ce soit.

Article 4 : Protection des données personnelles (RGPD)

L’entreprise met en œuvre des traitements de données personnelles dans le cadre de son activité. A ce titre, elle est soumise au Règlement Général sur la Protection des Données (RGPD) et à la loi Informatique et Libertés modifiée.

L’entreprise a désigné un Délégué à la Protection des Données (DPO) qui est le référent sur ces sujets. Ses coordonnées sont : [insérer nom et email].

Chaque utilisateur du SI est susceptible d’avoir accès à des données personnelles dans le cadre de ses missions. A ce titre, il doit respecter les principes et règles suivants :

• Les données personnelles ne doivent être collectées et traitées que pour un usage déterminé, explicite et légitime. Elles doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.
• L’utilisateur ne doit accéder qu’aux seules données personnelles dont il a besoin dans le cadre de ses missions. L’accès aux données doit être justifié.
• Les données personnelles doivent être conservées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées. Au-delà, elles doivent être supprimées ou archivées.
• L’utilisateur doit veiller à la confidentialité et à l’intégrité des données personnelles qu’il est amené à traiter, depuis leur collecte jusqu’à leur destruction.
• Toute violation de données personnelles (accès non autorisé, divulgation, perte, etc.) doit être signalée immédiatement au DPO.
• L’utilisateur doit respecter les droits des personnes sur leurs données (droit d’accès, de rectification, d’opposition, etc.) et transmettre au DPO toute demande reçue en ce sens.

Le non-respect des règles relatives à la protection des données personnelles peut entraîner des sanctions disciplinaires pour l’utilisateur

Article 4 bis : Usage des outils d’intelligence artificielle (IA)

L’usage d’outils d’intelligence artificielle générative (ChatGPT, Claude, Copilot, Gemini et équivalents) dans le cadre professionnel est encadré par les règles suivantes :

• Données interdites en saisie. L’utilisateur ne doit en aucun cas saisir dans un outil d’IA tierce, hors environnement contractualisé et validé par la DSI : données personnelles de clients, prospects, salariés ou partenaires ; informations confidentielles, stratégiques ou couvertes par le secret des affaires ; code source propriétaire ; secrets techniques (clés API, mots de passe, jetons d’accès) ; documents juridiques en cours de négociation.

• Outils autorisés. Seuls les outils d’IA listés par la DSI ou contractualisés au niveau de l’organisation (avec un DPA conforme à l’article 28 du RGPD et le cas échéant une analyse d’impact (AIPD) au titre de l’article 35) peuvent être utilisés pour traiter des données professionnelles non publiques.

• Vérification systématique des productions. Les contenus générés par IA (textes, code, analyses, traductions) doivent être relus et validés par l’utilisateur avant tout usage opérationnel. La responsabilité juridique reste celle de l’utilisateur et de l’organisation, indépendamment du fait que le contenu ait été produit par IA.

• Transparence vis-à-vis des destinataires. Lorsque le contexte l’exige (relations avec des clients, décisions ayant un impact sur des personnes, publications), l’utilisateur doit indiquer le recours à des outils d’IA, conformément aux exigences de transparence du règlement européen sur l’IA (AI Act).

• Articulation avec le RGPD. L’usage d’IA sur des données personnelles déclenche les obligations habituelles : base légale documentée, information des personnes, droits d’accès, d’opposition et de rectification effectifs, conservation limitée. Le recours à un outil d’IA générative pour produire ou traiter des données personnelles peut nécessiter une AIPD.

Le non-respect de ces règles expose l’utilisateur à des sanctions disciplinaires et l’organisation à un risque juridique majeur (sanctions RGPD, sanctions AI Act, atteinte à la propriété intellectuelle, fuite de secrets d’affaires).

Article 5 : sécurité informatique

L’entreprise met en oeuvre une série de moyens pour assurer la sécurité de son système d’information et des données traitées, en particulier des données personnelles. A ce titre elle peut limiter l’accès à certaines ressources.

4.1 Principe général de responsabilité et obligation de prudence

L’utilisateur est responsable des ressources informatiques qui lui sont confiées dans le cadre de ses missions, et doit concourir à leur protection, notamment en faisant preuve de prudence. L’utilisateur doit s’assurer d’utiliser les ressources informatiques mises à sa disposition de manière raisonnable, conformément à ses missions.

4.1 Obligation générale de confidentialité

L’utilisateur s’engage à préserver la confidentialité des informations, et en particulier des données personnelles, traitées sur le SI de l’organisation.

IL s’engage à prendre toutes les précautions utiles pour éviter que ne soient divulguées de son fait, ou du fait de personnes dont il a la responsabilité, ces informations confidentielles.

4.2 Mot de passe

L’accès aux SI ou aux ressources informatiques mises à disposition est protégé par mot de passe individuel. Ce mot de passe doit être gardé confidentiel par l’utilisateur afin de permettre le contrôle de l’activité de chacun. Le mot de passe doit être mémorisé et ne doit pas être écrit sous quelque forme que ce soit. Il ne doit pas être transmis ou confié à un tiers ou être rendu accessible. Le login et le mot de passe doivent être saisis lors de chaque accès au système d’information.

Le mot de passe doit se conformer à la politique de mot de passe édictée conformément aux prescriptions de la CNIL relativement à la protection des données personnelles et notamment :

• être composé de plus de 12 caractères ;
• ces caractères doivent être une combinaison de caractères alphanumériques de chiffres,
• de majuscules,
• de minuscules,
• et de caractères spéciaux

4.2 bis Authentification multifacteur (MFA)

Pour tout accès à des ressources sensibles (administration des systèmes, accès aux bases de données contenant des données personnelles, accès distant au système d’information, accès aux outils financiers ou RH), une authentification multifacteur (MFA) est obligatoire. La CNIL exige désormais explicitement la MFA pour les bases de données sensibles ou volumineuses, et son absence est un facteur aggravant en cas de violation de données.

4.3 Verouillage de sa session

L’utilisateur doit veiller à verrouiller sa session dès lors qu’il quitte son poste de travail.

4.4 Installation de logiciels

L’utilisateur ne doit pas installer, copier, modifier ou détruire de logiciels sur son poste informatique sans l’accord du service informatique en raison notamment du risque de virus informatiques.

4.5 Copie de données informatiques

L’utilisateur doit respecter les procédures définies par l’organisme afin d’encadrer les opérations de copie de données sur des supports amovibles, notamment en obtenant l’accord préalable du supérieur hiérarchique et en respectant les règles de sécurité, afin d’éviter la perte de données (ex : vol de clé usb, perte d’un ordinateur portable contenant d’importantes quantités d’informations confidentielles…).

Article 6 : Modalités d’utilisation des ressources informatiques

Note : décrire ici les modalités d’usage normal des ressources informatiques mises à disposition des u’ilisateurs - par exemple leur poste de travail, les différentes applications utilisées, la téléphonie mobile, etc

Article 7 : Accès à Internet

L’accès à l’Internet est autorisé au travers du SI, toutefois, pour des raisons de sécurité l’accès à certains sites peut être limité.

Article 7 bis : Télétravail, mobilité et BYOD

L’utilisateur en situation de télétravail ou de mobilité reste pleinement soumis à la présente charte. Les règles spécifiques suivantes s’appliquent en complément :

7.1 — Postes de travail à distance

Le télétravail s’effectue prioritairement depuis un poste de travail fourni par l’organisation, configuré et sécurisé par la DSI (chiffrement du disque, pare-feu, antivirus, MDM). L’usage d’un VPN d’entreprise est obligatoire pour tout accès aux ressources internes contenant des données personnelles ou des informations confidentielles. Les sauvegardes restent centralisées sur les serveurs de l’organisation, en aucun cas sur le poste local.

7.2 — Environnement physique de travail

L’utilisateur en télétravail doit veiller à la confidentialité de son environnement de travail : pas d’affichage d’écran en lieu public, pas de prise d’appel confidentiel à portée de tiers, verrouillage systématique du poste en cas d’éloignement, rangement des documents papier hors de la vue de personnes non autorisées. Ces obligations participent à la prévention des violations de données accidentelles, qui doivent être notifiées à la CNIL sous 72 heures (voir notre guide notification de violation de données).

7.3 — BYOD et terminaux personnels

L’utilisation d’un terminal personnel (ordinateur, smartphone, tablette) pour accéder aux ressources de l’organisation (BYOD — Bring Your Own Device) doit faire l’objet d’une autorisation préalable et écrite de la DSI. Le terminal doit alors respecter un niveau de sécurité équivalent à celui des équipements professionnels (chiffrement, mot de passe robuste, MFA, antivirus à jour, mise à jour de l’OS). L’organisation se réserve le droit d’imposer une solution de cloisonnement (conteneur sécurisé, MDM) pour séparer les usages professionnels et personnels.

7.4 — Wifi public et réseaux non sécurisés

L’utilisation de réseaux Wifi publics (hôtels, transports, espaces de coworking non gérés) pour accéder aux ressources de l’organisation est interdite sans VPN actif. Ces réseaux exposent à des risques d’interception et de capture de session.

7.5 — Perte ou vol

Toute perte ou vol d’un équipement (poste de travail, smartphone, clé USB, badge d’accès) contenant ou permettant l’accès à des données professionnelles doit être signalé immédiatement à la DSI et au DPO, en vue du blocage des accès et de l’éventuelle notification d’une violation de données à la CNIL.

Article 8 : Email

Chaque employé peut disposer d’une adresse email pour l’exercice de ses missions.

Par principe, tous les messages envoyés ou reçus sont présumés être envoyés à titre professionnel.

Par exception, les utilisateurs peuvent utiliser la messagerie à des fins personnelles, dans les limites posées par la loi. Les messages personnels doivent alors porter la mention “PRIVE” dans l’objet et être classés dans un répertoire “PRIVE” dans la messagerie, pour les messages reçus.

NOTE: l’entreprise peut édicter ses règles propres pour procéder à la distinction des messages privés/pro en fonction de son SI, toutefois il est impossible de supprimer un usage raisonnable à titre privé des outils informatiques mis à disposition par l’employeur (arrêt Nikon : Cass. soc., 2 oct. 2001, Nikon France), elle doit donc nécessairement édicter des règles à ce titre. Attention par contre au contrôle de la messagerie par les institutions représentatives du personnel, car cela peut constituer un délit d’entrave.

Article 9 : Sanctions

Les manquements aux règles édictées par la présente charte peuvent engager la responsabilité de l’utilisateur et entraîner des sanctions à son encontre (limitation d’usage du SI, sanctions disciplinaires.

Article 10 : Information et entrée en vigueur

La présente charte est ajoutée en annexe du règlement intérieur et communiquée individuellement à chaque employé.

Elle entre en vigueur au _____

Article 11 : Articulation avec NIS2 et obligations cyber

Pour les organisations soumises à la directive NIS2 (entités essentielles et entités importantes au sens du règlement européen 2022/2555), la charte informatique constitue l’une des mesures de gestion des risques de cybersécurité exigées par l’article 21 de la directive. Elle doit en particulier formaliser :

• Les règles d’hygiène cyber appliquées par les utilisateurs (authentification, mises à jour, gestion des mots de passe)
• Les procédures de signalement des incidents de sécurité, y compris dans les délais courts imposés par NIS2 (24h pour l’alerte initiale en cas d’incident significatif)
• Les obligations de formation et de sensibilisation à la cybersécurité de l’ensemble des collaborateurs
• L’usage encadré des outils SaaS et tiers, en lien avec les obligations de gestion de la chaîne d’approvisionnement (article 21(2)(d) NIS2)

L’articulation entre la charte informatique, la politique de sécurité des systèmes d’information (PSSI), le registre RGPD et le plan de continuité d’activité constitue le socle documentaire qu’une organisation doit pouvoir présenter en cas de contrôle CNIL ou d’autorité compétente NIS2.

Notes générales :

• Vous devez adapter les règles relatives au RGPD et vous assurer d’avoir un registre RGPD complet (vous pouvez utiliser Legiscope pour générer votre registre en quelques minutes)
• il est important de prendre en compte l’ensemble des prescriptions en matière de sécurité informatique édictées par la CNIL et des les intégrer dans la charte, en fonction de ce qui est mis en oeuvre dans l’entreprise
• l’ANSSI a édicté un guide général sur la rédaction des chartes informatiques que vous pouvez consulter ici qui peut servir de source d’inspiration pour la définition des règles de sécurité informatique.
• Il est intéressant également de prévoir les process pour les activités fréquentes des utilisateurs comme l’échange de fichiers, de sorte que ceux-ci puissent se faire de manière sécurisée. La charte peut également être le lieu ou définir les process d’entreprise.
• Attention, il est nécessaire de sensibliser les utilisateurs aux process imposés par la charte pour que les