La charte informatique constitue aussi bien une mesure de sécurité organisationnelle, au titre du RGPD, qu’un instrument disciplinaire, en droit du travail.
Cette dualité n’est pas sans conséquence, pour l’employeur, comme pour le salarié.
Ainsi, le droit du travail impose-t-il de permettre un usage personnel – raisonnable et licite – des moyens mis à disposition du salarié. Concrètement, il est ainsi autorisé à envoyer et recevoir des emails via son adresse professionnelle.
La CNIL islandaise, sur la base d’une règle similaire, a considéré que l’employeur n’est pas responsable de traitement des données ainsi reçues, à titre privé, par le salarié (Persónuvernd, 19 octobre 2022, Landsbankinn hf. n° 2021040978)
Encore heureux, me direz-vous.
Mais l’évidence de la solution masque la complexité de sa mise en oeuvre si le message électronique litigieux n’est pas estampillé « Personnel » ou « Privé ». En effet, faute d’une telle mention, un débat pourrait surgir quant à savoir qui du salarié ou de l’employeur est responsable de données traitées via la messagerie électronique.
Pour se prémunir d’un tel risque, deux solutions majeures apparaissent:
- La première mesure, également d’ordre organisationnel, suppose d’assurer l’effectivité de la mention « Personnel » ou « Privé », en faisant de la sensibilisation.
- La seconde, empiétant sur la sécurité logique, est de lutter contre la « GEDisation » des boites aux lettres électroniques.
Et ça tombe bien. Les deux mesures contribuent à la sécurité et sont des points d’attention des autorités de protection des données.
Qu’en pensez-vous ? Avez-vous rencontré des difficultés similaires dans votre entreprise ? Partagez vos RETEX en commentaires.
Des interrogations sur le contenu de votre charte informatique ? Vous vous posez des questions sur la conformité de votre système de messagerie ? N’hésitez pas à me contacter.
PS: ChatGPT étant en congés, je l’ai substituée pour l’illustration de cette semaine 🙂