Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Vendredi 10 juillet 2026
RGPD

Charte informatique 2026 : modèle gratuit RGPD et NIS2

Modèle de charte informatique 2026 à copier : clauses RGPD, IA générative, télétravail, BYOD, mot de passe et NIS2. Prêt à l'emploi, à adapter.

L’essentiel. La charte informatique fixe les règles d’usage du système d’information et conditionne l’opposabilité des sanctions aux salariés. Pour être opposable, elle doit être adossée au règlement intérieur et respecter la procédure du code du travail (consultation du CSE, dépôt, information individuelle). Vous trouverez ci-dessous un modèle complet 2026 couvrant RGPD, IA générative, mot de passe, MFA, télétravail, BYOD et NIS2, à adapter à votre organisation.

Une charte informatique informe les utilisateurs d’un système d’information (SI) des règles qui s’imposent quant à l’utilisation de ces ressources. Juridiquement, elle fixe de manière transparente les conditions dans lesquelles la responsabilité des utilisateurs peut être engagée. Corrélativement, elle protège aussi la responsabilité des dirigeants (DSI, direction générale). Elle sert enfin à trancher une question épineuse, source d’abondante jurisprudence : l’usage à des fins privées des ressources professionnelles.

Vous trouverez plus bas un modèle type de charte informatique que vous pouvez adapter et réutiliser. Il vous servira de base de travail pour encadrer l’utilisation des ressources internes, l’application du RGPD, la protection de la propriété intellectuelle et les communications électroniques.

Pourquoi une charte informatique en 2026

Le paysage a changé depuis les premières chartes des années 2000. Trois évolutions rendent aujourd’hui la charte incontournable :

  • L’IA générative s’est invitée dans tous les postes de travail (assistants conversationnels, copilotes de code). Sans règles, un salarié peut exposer des données confidentielles ou personnelles en quelques secondes.
  • La cybersécurité est devenue une obligation réglementaire dure, avec la directive NIS2 et le durcissement des attentes de la CNIL (MFA, mots de passe robustes, journalisation).
  • Le télétravail et le BYOD ont dispersé le SI hors des murs de l’entreprise, multipliant les surfaces d’exposition.

Une charte à jour n’est plus un document de confort : c’est une pièce du socle documentaire qu’une organisation doit pouvoir présenter en cas de contrôle.

Conditions d’opposabilité : ne pas négliger la procédure

Une charte n’a de valeur disciplinaire que si elle est opposable. Pour cela, elle doit découler du règlement intérieur et respecter la procédure du code du travail :

Exigence Référence Ce qu’il faut faire
Contenu et proportionnalité Art. L. 1321-3 c. trav. Les restrictions doivent être justifiées et proportionnées au but recherché
Information préalable des dispositifs Art. L. 1222-4 c. trav. Aucun dispositif de contrôle ne peut être opposé s’il n’a pas été porté à la connaissance du salarié
Procédure d’adoption Art. L. 1321-4 c. trav. Consultation du CSE, transmission à l’inspection du travail, dépôt au greffe
Information individuelle Communication de la charte à chaque utilisateur, annexée au règlement intérieur

La charte doit aussi prévoir ses modalités d’entrée en vigueur et de révision. Une clause de sanction rédigée sans respect de cette procédure risque d’être écartée par le juge prud’homal.

Ce que la charte doit couvrir

Thème Objet
Périmètre et utilisateurs Qui et quels équipements sont soumis à la charte
Usage professionnel / privé Limites de l’usage privé, marquage des messages personnels
Protection des données Application interne du RGPD, minimisation, confidentialité
IA générative Données interdites en saisie, outils autorisés, vérification humaine
Sécurité Mot de passe, MFA, verrouillage de session, logiciels
Télétravail / BYOD VPN, terminaux personnels, Wi-Fi public, perte/vol
Messagerie et Internet Présomption professionnelle, filtrage, usage raisonnable
Sanctions et NIS2 Régime disciplinaire, hygiène cyber, signalement d’incidents

Modèle de charte informatique

Modèle indicatif fourni à titre documentaire — ne constitue pas un conseil juridique. À adapter à votre contexte avant usage. Version 2026-07 — charte-v3.

PRÉAMBULE

L’entreprise / l’association [XXX] met à disposition de ses utilisateurs un système d’information (SI) et les moyens informatiques nécessaires à l’exécution de ses missions et de ses activités. Celui-ci comprend notamment un réseau informatique, un réseau téléphonique et [lister les autres actifs régis par la charte].

Dans le cadre de leurs fonctions, les utilisateurs sont conduits à utiliser les ressources informatiques mises à leur disposition. Dans un objectif de transparence, la présente charte définit les règles dans lesquelles ces ressources peuvent être utilisées.

Article 1 — Utilisateurs concernés

La présente charte s’applique à l’ensemble des utilisateurs du système d’information, dont notamment : les dirigeants et mandataires sociaux, les salariés, les intérimaires, les stagiaires, les employés de sociétés prestataires et les visiteurs occasionnels. Il appartient aux salariés de faire accepter la présente charte à toute personne à laquelle ils permettraient l’accès au SI.

Article 2 — Périmètre du système d’information

Le SI est composé des ressources suivantes : ordinateurs, téléphones, réseau informatique (serveurs, routeurs et connectique), photocopieurs, logiciels, données informatisées, messagerie, [compléter].

Aux fins d’assurer la sécurité du SI, tout matériel connecté au SI de l’entreprise, y compris le matériel personnel des utilisateurs visés à l’article 1, est régi par la présente charte.

Note : définir ici le périmètre des biens soumis à la charte. Prévoir le cas échéant les règles spécifiques régissant l’usage du SI par les représentants du personnel, l’organisation d’élections ou le télétravail, qui peuvent relever de chartes distinctes.

Article 3 — Règles générales d’utilisation

Le SI doit être utilisé à des fins professionnelles, conformes aux objectifs de l’organisation, sauf exception prévue par les présentes ou par la loi. Les utilisateurs ne peuvent en aucun cas utiliser le SI pour se livrer à des activités concurrentes ou susceptibles de porter préjudice à l’organisation.

Article 4 — Protection des données personnelles (RGPD)

L’entreprise met en œuvre des traitements de données personnelles dans le cadre de son activité. À ce titre, elle est soumise au RGPD et à la loi Informatique et Libertés modifiée. Elle a désigné un délégué à la protection des données (DPO), référent sur ces sujets : [nom et e-mail]. Sur l’obligation de désignation, voir notre analyse DPO obligatoire ou non.

Chaque utilisateur susceptible d’accéder à des données personnelles dans le cadre de ses missions respecte les règles suivantes :

  • Les données ne sont collectées et traitées que pour un usage déterminé, explicite et légitime ; elles sont adéquates, pertinentes et limitées à ce qui est nécessaire (principe de minimisation).
  • L’utilisateur n’accède qu’aux seules données nécessaires à ses missions ; tout accès doit être justifié.
  • Les données sont conservées pour une durée n’excédant pas celle nécessaire aux finalités (tableau des durées de conservation) ; au-delà, elles sont supprimées ou archivées.
  • L’utilisateur veille à la confidentialité et à l’intégrité des données qu’il traite, de la collecte à la destruction.
  • Toute violation de données (accès non autorisé, divulgation, perte) est signalée immédiatement au DPO.
  • L’utilisateur respecte les droits des personnes (accès, rectification, opposition) et transmet au DPO toute demande reçue.

Le non-respect de ces règles peut entraîner des sanctions disciplinaires.

Article 4 bis — Usage des outils d’intelligence artificielle (IA)

L’usage d’outils d’IA générative (assistants conversationnels, copilotes de code, générateurs d’images et équivalents) dans le cadre professionnel est encadré par les règles suivantes :

  • Données interdites en saisie. L’utilisateur ne saisit en aucun cas, dans un outil d’IA tiers hors environnement contractualisé et validé par la DSI : données personnelles de clients, prospects, salariés ou partenaires ; informations confidentielles, stratégiques ou couvertes par le secret des affaires ; code source propriétaire ; secrets techniques (clés API, mots de passe, jetons) ; documents juridiques en cours de négociation.
  • Outils autorisés. Seuls les outils listés par la DSI ou contractualisés au niveau de l’organisation — avec un contrat de sous-traitance conforme à l’article 28 du RGPD et, le cas échéant, une analyse d’impact (AIPD) — peuvent traiter des données professionnelles non publiques.
  • Vérification humaine systématique. Les contenus générés par IA (textes, code, analyses, traductions) sont relus et validés avant tout usage opérationnel. La responsabilité juridique reste celle de l’utilisateur et de l’organisation.
  • Transparence. Lorsque le contexte l’exige (relations clients, décisions ayant un impact sur des personnes, publications), l’utilisateur signale le recours à l’IA, conformément aux exigences de transparence du règlement européen sur l’IA.
  • Articulation avec le RGPD. L’usage d’IA sur des données personnelles déclenche les obligations habituelles : base légale documentée, information des personnes, droits effectifs, conservation limitée. Voir l’actualité IA 2026 pour le cadre en vigueur.

Le non-respect de ces règles expose l’utilisateur à des sanctions disciplinaires et l’organisation à un risque juridique majeur (sanctions RGPD, sanctions au titre du règlement IA, atteinte à la propriété intellectuelle, fuite de secrets d’affaires).

Article 5 — Sécurité informatique

L’entreprise met en œuvre une série de moyens pour assurer la sécurité de son SI et des données traitées, en particulier des données personnelles. À ce titre, elle peut limiter l’accès à certaines ressources.

5.1 — Responsabilité et prudence. L’utilisateur est responsable des ressources qui lui sont confiées et concourt à leur protection en faisant preuve de prudence.

5.2 — Confidentialité. L’utilisateur préserve la confidentialité des informations, en particulier des données personnelles, et prend toutes précautions utiles pour éviter leur divulgation. Cette obligation peut être renforcée par une clause de confidentialité dédiée.

5.3 — Mot de passe. L’accès au SI est protégé par un mot de passe individuel, gardé confidentiel, mémorisé et jamais transmis à un tiers. Conformément aux recommandations de la CNIL sur l’authentification par mot de passe, celui-ci doit notamment comporter au moins 12 caractères combinant chiffres, majuscules, minuscules et caractères spéciaux (ou reposer sur une politique équivalente validée par la DSI).

5.4 — Authentification multifacteur (MFA). Pour tout accès à des ressources sensibles (administration des systèmes, bases de données contenant des données personnelles, accès distant, outils financiers ou RH), une authentification multifacteur est obligatoire. La CNIL attend désormais la MFA pour les bases sensibles ou volumineuses ; son absence constitue un facteur aggravant en cas de violation.

5.5 — Verrouillage de session. L’utilisateur verrouille sa session dès qu’il quitte son poste.

5.6 — Installation de logiciels. L’utilisateur n’installe, ne copie, ne modifie ni ne supprime de logiciel sans l’accord du service informatique, notamment en raison du risque de logiciel malveillant.

5.7 — Copie de données. L’utilisateur respecte les procédures encadrant la copie de données sur supports amovibles (accord préalable, chiffrement), afin d’éviter toute perte (vol de clé USB, perte d’un ordinateur portable, etc.).

Article 6 — Modalités d’utilisation des ressources

Note : décrire ici les modalités d’usage normal des ressources mises à disposition (poste de travail, applications métier, téléphonie mobile, etc.).

Article 7 — Accès à Internet

L’accès à Internet est autorisé au travers du SI. Pour des raisons de sécurité, l’accès à certains sites peut être limité.

Article 7 bis — Télétravail, mobilité et BYOD

L’utilisateur en télétravail ou en mobilité reste pleinement soumis à la présente charte. Les règles suivantes s’appliquent en complément :

7.1 — Postes de travail à distance. Le télétravail s’effectue prioritairement depuis un poste fourni par l’organisation, configuré et sécurisé par la DSI (chiffrement du disque, pare-feu, antivirus, MDM). L’usage d’un VPN d’entreprise est obligatoire pour tout accès aux ressources internes contenant des données personnelles ou confidentielles. Les sauvegardes restent centralisées sur les serveurs de l’organisation.

7.2 — Environnement physique. L’utilisateur veille à la confidentialité de son environnement : pas d’affichage d’écran en lieu public, pas d’appel confidentiel à portée de tiers, verrouillage systématique du poste, rangement des documents papier. Ces obligations préviennent les violations accidentelles, à notifier à la CNIL sous 72 heures.

7.3 — BYOD. L’utilisation d’un terminal personnel (ordinateur, smartphone, tablette) pour accéder aux ressources de l’organisation nécessite une autorisation préalable et écrite de la DSI. Le terminal doit alors respecter un niveau de sécurité équivalent aux équipements professionnels (chiffrement, mot de passe robuste, MFA, antivirus à jour, OS à jour). L’organisation peut imposer une solution de cloisonnement (conteneur, MDM).

7.4 — Wi-Fi public. L’utilisation de réseaux Wi-Fi publics pour accéder aux ressources de l’organisation est interdite sans VPN actif.

7.5 — Perte ou vol. Toute perte ou vol d’un équipement contenant ou permettant l’accès à des données professionnelles est signalé immédiatement à la DSI et au DPO, en vue du blocage des accès et de l’éventuelle notification d’une violation de données.

Article 8 — Messagerie électronique

Chaque employé peut disposer d’une adresse e-mail pour l’exercice de ses missions. Par principe, tous les messages envoyés ou reçus sont présumés professionnels. Par exception, les utilisateurs peuvent utiliser la messagerie à des fins personnelles dans les limites posées par la loi : les messages personnels doivent porter la mention « PRIVÉ » dans l’objet et être classés dans un dossier « PRIVÉ ».

Note : l’employeur peut fixer ses propres règles de distinction privé/professionnel, mais il ne peut pas supprimer tout usage privé raisonnable des outils mis à disposition (jurisprudence Nikon : Cass. soc., 2 oct. 2001). Attention au contrôle de la messagerie, susceptible de constituer un délit d’entrave à l’égard des institutions représentatives du personnel.

Article 9 — Sanctions

Les manquements aux règles de la présente charte peuvent engager la responsabilité de l’utilisateur et entraîner des sanctions (limitation d’usage du SI, sanctions disciplinaires prévues par le règlement intérieur).

Article 10 — Information et entrée en vigueur

La présente charte est annexée au règlement intérieur et communiquée individuellement à chaque employé. Elle entre en vigueur le [date].

Article 11 — Articulation avec NIS2 et obligations cyber

Pour les organisations soumises à la directive NIS2 (entités essentielles et importantes au sens du règlement européen 2022/2555), la charte constitue l’une des mesures de gestion des risques de cybersécurité exigées. Elle formalise en particulier :

  • les règles d’hygiène cyber appliquées par les utilisateurs (authentification, mises à jour, gestion des mots de passe) ;
  • les procédures de signalement des incidents, y compris dans les délais courts de NIS2 (alerte initiale sous 24 heures pour un incident important) ;
  • les obligations de formation et de sensibilisation à la cybersécurité ;
  • l’usage encadré des outils SaaS et tiers, en lien avec la sécurité de la chaîne d’approvisionnement.

L’articulation entre la charte, la politique de sécurité des systèmes d’information (PSSI), le registre RGPD et le plan de continuité constitue le socle documentaire présentable en cas de contrôle CNIL ou d’autorité compétente NIS2.


Checklist de déploiement

  • [ ] Adapter chaque article au SI réel de l’organisation (périmètre, outils, rôles).
  • [ ] Renseigner l’identité et les coordonnées du DPO.
  • [ ] Vérifier la cohérence avec le registre des traitements et la PSSI.
  • [ ] Consulter le CSE et respecter la procédure du règlement intérieur.
  • [ ] Annexer la charte au règlement intérieur et procéder au dépôt.
  • [ ] Communiquer la charte individuellement et recueillir l’accusé de réception.
  • [ ] Sensibiliser les utilisateurs (une charte lue mais non comprise ne protège personne).
  • [ ] Planifier une révision annuelle (IA, cyber et télétravail évoluent vite).

Notes générales de mise en œuvre

  • Assurez-vous de disposer d’un registre RGPD complet et à jour ; un logiciel RGPD permet d’industrialiser la production de cette documentation et son maintien.
  • Intégrez l’ensemble des prescriptions de la CNIL en matière de sécurité des données, en fonction de ce qui est réellement mis en œuvre dans l’entreprise.
  • Le guide de l’ANSSI sur la rédaction des chartes d’utilisation des moyens informatiques constitue une source d’inspiration utile pour les règles de sécurité.
  • Prévoyez les process des activités fréquentes (échange de fichiers, sauvegarde) pour qu’ils s’effectuent de manière sécurisée. La charte peut aussi être le lieu où définir ces process.
  • Sensibilisez systématiquement les utilisateurs aux règles de la charte : sans appropriation, l’opposabilité juridique reste théorique.

FAQ

La charte informatique est-elle obligatoire ?

Aucun texte n’impose expressément une charte informatique. En pratique, elle est indispensable pour rendre opposables les règles d’usage et les contrôles, et elle constitue une mesure attendue au titre de la sécurité des données (RGPD) et, pour les entités concernées, de NIS2. Sans charte, sanctionner un usage abusif du SI devient juridiquement fragile.

Comment rendre la charte opposable aux salariés ?

En l’adossant au règlement intérieur et en respectant la procédure du code du travail : consultation du CSE, information individuelle des salariés, transmission à l’inspection du travail et dépôt au greffe. Un dispositif de contrôle non porté préalablement à la connaissance des salariés ne peut leur être opposé (art. L. 1222-4 c. trav.).

Peut-on interdire tout usage personnel du poste de travail ?

Non. La jurisprudence Nikon (Cass. soc., 2 oct. 2001) reconnaît un droit à un usage privé raisonnable des outils professionnels. La charte peut encadrer cet usage (mention « PRIVÉ », volumes, sécurité), mais elle ne peut pas l’interdire totalement.

La charte doit-elle traiter de l’IA générative ?

C’est fortement recommandé en 2026. Sans règles claires, un salarié peut exposer des données personnelles ou confidentielles dans un outil d’IA tiers en quelques secondes. La charte doit préciser les données interdites en saisie, les outils autorisés et l’obligation de vérification humaine des productions.

Faut-il une charte distincte pour le télétravail ?

Ce n’est pas obligatoire : les règles de télétravail, mobilité et BYOD peuvent figurer dans la charte principale (comme dans le modèle ci-dessus) ou faire l’objet d’une annexe dédiée. L’essentiel est que le VPN, le chiffrement, le Wi-Fi public et la conduite à tenir en cas de perte ou de vol soient couverts.

À quelle fréquence réviser la charte ?

Au moins une fois par an, et à chaque évolution significative du SI ou du cadre réglementaire (nouveaux outils d’IA, exigences NIS2, doctrine CNIL sur la MFA). Une charte figée depuis plusieurs années ne reflète plus les risques réels et perd de sa force.

Thiébaut Devergranne
Docteur en droit des nouvelles technologies (Paris II)

Docteur en droit, Thiébaut Devergranne travaille en droit des nouvelles technologies et en protection des données personnelles depuis plus de 20 ans. Il a accompagné des centaines d'organisations dans leur mise en conformité RGPD et est le fondateur de Legiscope, logiciel de conformité RGPD.

En savoir plus sur l'auteur →