Si l’adoption des chartes informatiques a aujourd’hui tendance à se généraliser dans les entreprises et les organismes publics, il est permis de s’interroger sur la pertinence de l’inclusion, dans ce document, des aspects relatifs aux traitements de données à caractère personnel.

 Destinées à organiser les conditions d’utilisation par les salariés du système d’information de l’employeur, les chartes informatiques ont d’abord pour objet l’emploi de la messagerie électronique, d’Internet et, plus généralement, des fichiers matériels et logiciels utilisés par les salariés dans le cadre de l’accomplissement de leurs fonctions. L’adoption d’une charte informatique se justifie par le rappel des droits et obligations des salariés en la matière et vise la recherche d’un équilibre entre vie privée du salarié et protection des intérêts légitimes de son employeur. La particularité des règles applicables aux traitements de données à caractère personnel,  suffit à légitimer l’adoption d’un document distinct de la charte Informatique et libertés, dans lequel seront rappelés les principes essentiels applicables à la collecte, au traitement et à la conservation de données à caractère personnel.

Gestion de paie ou envoi d’une newsletter : la loi Informatique et Libertés  du 6 janvier 1978, modifiée le 6 août 2004, définit une donnée à caractère personnel comme « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres ». Qu’il s’agisse de la création d’un fichier destiné à gérer la relation client, d’un traitement mis en place afin d’assurer la paie des salariés ou encore de la collecte d’adresses de courrier électronique à des fins d’envoi d’une newsletter, l’ensemble des traitements de données à caractère personnel mis en œuvre dans l’entreprise sont assujettis aux règles résultant de la loi Informatique et Libertés et peuvent utilement faire l’objet d’un code de bonne conduite, imposé par l’employeur à ses salariés. Annexée au règlement intérieur de l’entreprise, la charte Informatique et Libertés a, alors, pour objectif de sensibiliser le personnel sur les sanctions pénales et administratives applicables au non respect des prescriptions légales en la matière et de lui rappeler les conditions de conformité des traitements effectués. Ainsi, des aspects relatifs à la finalité, aux destinataires du traitement, pourront être rappelés, de même que le nécessaire respect de la durée de conservation des données traitées, et l’information des personnes concernées sur leurs droits d’accès de modification et de suppression des données les concernant.

Démarche plus professionnelle : la charte Informatique et Libertés doit également aborder la problématique du transfert des données à caractère personnel en dehors de l’Union Européenne, notamment envers des Etats n’assurant pas une protection suffisante de ces données. Elle constitue également le support approprié pour rappeler la politique suivie par l’employeur en matière de traitement de données à caractère personnel. Ainsi, dans les entreprises dotées d’un correspondant Informatique et Libertés (CIL), la charte sera l’occasion de rappeler son existence et les conditions de son intervention et de son indépendance. Plus généralement, l’adoption d’une telle charte inscrit entreprises et organismes publics, dans une démarche plus professionnelle de traitement des données à caractère personnel. La multiplication des contrôles effectués par la Cnil (Commission nationale Informatique et Libertés), comme le renforcement des pouvoirs de sanction confiés à l’organisme, devraient  donner raison à ceux ayant fait le choix d’une sensibilisation claire de leurs salariés sur le plan des principes essentiels à respecter, des sanctions pénales et administratives applicables et le rappel des règles de déontologie et de sécurité à respecter.

Blandine POIDEVIN et Viviane GELLES