Charte Utilisateur SI : Modèle Word Gratuit [ISO 27001]

La charte utilisateur du système d'information (également appelée charte informatique ou charte SMSI) est le document contractuel signé par chaque collaborateur qui formalise ses droits et ses obligations en matière d'utilisation des ressources informatiques de l'organisation. Elle est un pilier de la sécurité comportementale, cette dimension trop souvent négligée qui détermine pourtant une part majeure du risque cyber réel : selon le rapport Verizon DBIR 2025, 68% des violations de données impliquent une erreur humaine. La norme ISO/IEC 27001:2022 exige sa mise en place à travers plusieurs contrôles convergents : A.5.10 (Utilisation acceptable des informations et autres actifs) qui impose des règles formelles d'utilisation des actifs informationnels, A.6.2 (Modalités et conditions d'emploi) qui exige que les obligations des employés incluent la sécurité de l'information, et A.6.3 (Sensibilisation, formation et formations à la sécurité de l'information) qui impose une sensibilisation aux politiques et procédures applicables. Ce modèle Word de 6 à 8 pages, développé par Ayi NEDJIMI, consultant cybersécurité Lead Implementer ISO 27001, est conçu pour être compréhensible par tous les collaborateurs (pas seulement les équipes IT) et pour couvrir l'ensemble des situations courantes d'utilisation du SI : usage sur site et en télétravail, terminaux de l'entreprise et personnels (BYOD), messagerie professionnelle, réseaux sociaux, mots de passe, données confidentielles, et sanctions en cas de manquement. La charte n'est pas seulement une obligation normative : c'est aussi un document à valeur juridique qui protège l'organisation en cas de litige avec un collaborateur ayant causé un incident de sécurité. Signée, elle établit que le collaborateur était informé de ses obligations et les a acceptées.

Contexte réglementaire et normatif

ISO/IEC 27001:2022 — Contrôles A.5.10, A.6.2, A.6.3

Plusieurs contrôles de la norme ISO 27001:2022 convergent vers l'exigence d'une charte utilisateur :

• A.5.10 (Utilisation acceptable des informations et autres actifs) : des règles pour l'utilisation acceptable et les procédures de traitement des informations et autres actifs associés doivent être identifiées, documentées et mises en œuvre. Ces règles doivent couvrir tous les utilisateurs, y compris les prestataires.
• A.6.2 (Modalités et conditions d'emploi) : les contrats de travail et d'emploi doivent indiquer les responsabilités de l'employé et de l'organisation en matière de sécurité de l'information. La charte utilisateur constitue le document complémentaire qui détaille ces responsabilités.
• A.6.3 (Sensibilisation, formation et formations à la sécurité de l'information) : le personnel doit recevoir une sensibilisation appropriée à la sécurité de l'information et des formations régulières. La remise et la signature de la charte lors de l'onboarding est une mesure de sensibilisation initiale obligatoire.
• A.6.4 (Processus disciplinaire) : un processus disciplinaire formalisé doit exister pour les employés et contractants qui violent les politiques de sécurité de l'information. La charte doit référencer ce processus disciplinaire pour être juridiquement opposable.

Cadre juridique français

La charte utilisateur a une valeur juridique importante en droit français. Pour être juridiquement opposable au collaborateur, elle doit : être remise lors de l'embauche (ou lors de son entrée en vigueur pour les collaborateurs en poste), faire l'objet d'une signature du collaborateur qui atteste avoir pris connaissance et accepté les règles, être annexée au règlement intérieur ou référencée dans le contrat de travail (selon votre choix) pour avoir une valeur contractuelle, et être accessibles à tout moment par les collaborateurs (affichage en intranet, copie dans leur dossier). Pour les organisations de plus de 50 salariés, la charte doit être soumise pour avis au Comité Social et Économique (CSE) avant sa mise en application. Le non-respect de cette formalité peut fragiliser la valeur juridique de la charte. Depuis la transposition du RGPD en droit français, la charte doit également informer les utilisateurs des conditions de surveillance de leurs usages du SI (monitoring des emails, journalisation des actions) dans le respect du secret des correspondances.

RGPD — Transparence et monitoring du SI

La surveillance des usages du SI par l'employeur (journalisation des connexions, monitoring des emails professionnels, analyse des logs réseau) est encadrée par le RGPD et par la jurisprudence de la Cour de Cassation. La charte utilisateur doit informer explicitement les collaborateurs des types de surveillance mis en place et de leur finalité (sécurité du SI, conformité), des données collectées et de leur durée de conservation, du droit à la vie privée résiduel (usage personnel toléré ou interdit), et des modalités d'exercice des droits RGPD sur les données collectées. Cette transparence est à la fois une obligation RGPD et une condition de la valeur juridique de la charte : une surveillance non déclarée dans la charte peut être invalidée par les tribunaux.

Structure détaillée de la charte utilisateur SI

Section 1 — Objet et champ d'application

Cette section définit l'objet de la charte (encadrer l'utilisation du SI conformément aux politiques de sécurité et aux exigences légales), le champ d'application (tous les collaborateurs, stagiaires, prestataires et tiers ayant accès aux ressources SI), les ressources couvertes (postes de travail, smartphones, tablettes, connexions VPN, applications métier, messagerie, cloud, réseaux sociaux professionnels), et la durée d'application (pendant toute la durée de la relation de travail ou contractuelle).

Section 2 — Droits des utilisateurs

Cette section précise les droits des collaborateurs : droit à un outil de travail fonctionnel et sécurisé, droit à la formation aux outils et aux règles de sécurité, droit à la vie privée (usage personnel toléré dans les limites définies), droit d'être informé des règles de surveillance du SI, et droit de signaler une anomalie ou un incident sans crainte de sanction.

Section 3 — Obligations des utilisateurs

C'est la section la plus importante de la charte. Elle couvre : la protection des accès (ne pas divulguer ses identifiants, choisir des mots de passe robustes, verrouiller la session lors des absences), la classification et la manipulation des données (respecter les niveaux de classification, ne pas stocker de données confidentielles sur des supports non autorisés), l'usage de la messagerie professionnelle (ne pas transmettre de données confidentielles vers des adresses personnelles, ne pas cliquer sur des liens suspects), l'usage d'Internet (prohibition de sites illicites, contrôles de navigation, droits d'auteur), l'installation de logiciels (prohibition d'installation non autorisée, processus de demande), le télétravail et l'usage personnel des équipements (selon la politique BYOD), la gestion des supports amovibles (clés USB, disques externes), et le signalement obligatoire de tout incident ou événement suspect.

Section 4 — Usages tolérés et interdits

Cette section distingue clairement les usages tolérés de la messagerie et d'Internet à titre personnel (usage raisonnable, non susceptible de nuire à l'image de l'entreprise ou à la sécurité du SI) des usages explicitement interdits (pornographie, piratage, téléchargement illégal, utilisation à des fins commerciales personnelles, divulgation de secrets professionnels, etc.).

Section 5 — Règles spécifiques aux prestataires et intervenants externes

Les prestataires qui interviennent sur le SI doivent respecter des règles spécifiques : utiliser uniquement les accès qui leur ont été formellement accordés, ne pas contourner les contrôles de sécurité, signaler tout incident ou anomalie à leur interlocuteur, et restituer tous les accès à la fin de la mission. Cette section est un complément du registre des sous-traitants.

Section 6 — Surveillance du SI et vie privée

Cette section informe les utilisateurs des mesures de surveillance en place : journalisation des connexions et des actions sur les systèmes, analyse des logs réseau, filtrage des emails (antispam, antivirus), monitoring des flux web. Elle précise que ces mesures ont pour finalité la sécurité du SI et la conformité réglementaire, et que les données collectées sont conservées pendant une durée limitée et accessible uniquement aux personnes habilitées.

Section 7 — Sanctions

Cette section référence le processus disciplinaire applicable (A.6.4 ISO 27001) et précise les types de sanctions possibles en cas de manquement (avertissement, mise à pied, licenciement selon la gravité), en lien avec le règlement intérieur et les dispositions légales du Code du travail.

Section 8 — Signature et attestation de prise de connaissance

Page de signature avec nom, prénom, poste, date et signature du collaborateur, attestant avoir pris connaissance et accepté les règles de la charte. Cette page est conservée dans le dossier du collaborateur.

Guide d'utilisation étape par étape

1. Soumettre la charte pour avis au CSE (si applicable) : pour les organisations de 50 salariés et plus, le CSE doit rendre un avis sur la charte avant sa mise en vigueur. Lancez cette consultation 2 mois avant la date de mise en vigueur prévue.
2. Valider avec le service juridique ou DRH : la charte a une valeur contractuelle et juridique. Faites-la valider par votre juriste ou votre DRH avant publication pour vérifier sa conformité au Code du travail et au RGPD.
3. Intégrer dans le processus d'onboarding : la charte doit être remise et signée le premier jour de chaque nouveau collaborateur, avant tout accès aux systèmes. Intégrez cette étape dans le checklist d'onboarding des RH.
4. Obtenir la signature de tous les collaborateurs existants : si la charte est nouvellement créée ou significativement révisée, collectez la signature de tous les collaborateurs en poste. Prévoyez un délai raisonnable (2 à 4 semaines) et un suivi des non-signataires.
5. Rendre la charte accessible en permanence : publiez la charte en vigueur sur l'intranet et envoyez une copie numérique à chaque collaborateur lors de sa signature. Les collaborateurs doivent pouvoir consulter la charte à tout moment.
6. Mettre à jour lors des changements significatifs : révisez la charte lors de l'introduction de nouveaux services (nouveau système cloud, télétravail généralisé), de changements réglementaires (RGPD, NIS 2), ou d'incidents significatifs qui révèlent des comportements non couverts. Collectez les signatures sur la nouvelle version.
7. Former les collaborateurs au contenu : une charte signée sans être comprise ne protège pas l'organisation. Organisez des sessions de sensibilisation courtes (15-20 minutes lors de l'onboarding) pour expliquer les règles clés et répondre aux questions. L'objectif n'est pas la conformité formelle mais le changement de comportement.
8. Conserver les preuves de signature : archivez les pages de signature dans les dossiers personnels des collaborateurs et dans un registre centralisé accessible au RSSI. Ces signatures sont des preuves essentielles en cas de litige et pour l'audit de certification ISO 27001.

Tableau des contrôles — Checklist charte utilisateur SI ISO 27001

Points de vigilance pour l'audit de certification

1. Collaborateurs sans signature : les auditeurs de certification demandent régulièrement le registre des signatures et vérifient par sondage que les collaborateurs ont bien signé. Un taux inférieur à 100% est une NC. Remédiation : suivez le taux de signature dans votre tableau de bord et relancez systématiquement les non-signataires avec escalade managériale.
2. Charte non remise lors de l'onboarding : une charte signée 6 mois après l'embauche n'a pas la même valeur contractuelle qu'une charte signée le premier jour. Les auditeurs vérifient si la charte est intégrée dans le processus d'onboarding. Remédiation : ajoutez la remise et la signature de la charte dans la checklist d'onboarding RH, avant la remise des accès.
3. Charte non validée par le CSE : pour les organisations de plus de 50 salariés, l'absence de consultation du CSE peut invalider la charte juridiquement. Remédiation : consultez systématiquement le CSE avant toute nouvelle charte ou révision significative, et conservez le PV de réunion.
4. Surveillance du SI non déclarée : si votre charte ne mentionne pas les mesures de surveillance (journalisation, monitoring), celles-ci peuvent être jugées illicites par les tribunaux ou la CNIL. Remédiation : inventoriez toutes les mesures de surveillance en place et faites les valider par le DPO avant de les mentionner dans la charte.
5. Charte non mise à jour depuis plusieurs années : une charte de 2015 qui ne mentionne pas le télétravail, le cloud, ou les smartphones est manifestement obsolète. Remédiation : révisez la charte au minimum tous les 2 ans et après tout changement majeur du SI ou de l'organisation du travail.
6. Charte incompréhensible pour les non-techniciens : une charte rédigée en jargon technique ne sera pas comprise ni respectée par les collaborateurs non-IT. Remédiation : faites lire votre charte par des représentants des équipes métier (commercial, RH, finance) et simplifiez les passages qu'ils ne comprennent pas.

Intégration dans le SMSI : liens avec les autres documents

CHARTE UTILISATEUR SI (A.5.10, A.6.2) ← Document contractuel
│
├── RÉSUME ET SIMPLIFIE →
│   ├── Politique de classification (A.5.12)
│   ├── Politique de gestion des accès (A.5.15-18)
│   ├── Politique mots de passe (A.5.17)
│   ├── Politique télétravail et BYOD (A.6.7)
│   └── Procédure de gestion des incidents (A.5.24)
│
├── S'INTÈGRE DANS →
│   ├── Processus onboarding RH — signature J1
│   ├── Processus offboarding — restitution équipements, obligations post-emploi
│   └── Processus disciplinaire (A.6.4) — référence en cas de manquement
│
├── EST COHÉRENTE AVEC →
│   ├── Règlement intérieur — sanctions cohérentes
│   ├── Contrats de travail — obligations sécurité SI
│   └── Registre RGPD — déclaration surveillance CNIL
│
└── EST VÉRIFIÉE PAR →
    ├── Registre des signatures (RSSI/DRH)
    ├── Audit interne (Clause 9.2) — taux signature, contenu à jour
    └── Audit de certification Stage 1 — vérification documentaire

Bonnes pratiques terrain

• Rédigez deux versions : une version longue et exhaustive (document complet) pour la valeur juridique, et une version courte "mémo" (1 page) pour la sensibilisation quotidienne. La version courte peut être affichée dans les bureaux et diffusée dans les emails de sensibilisation périodiques.
• Utilisez la signature électronique : des outils comme DocuSign, Yousign ou même Adobe Sign permettent de collecter les signatures électroniquement, de suivre le taux de signature en temps réel, et de conserver les preuves de signature horodatées de manière fiable. Le gain de temps est significatif pour les organisations avec de nombreux collaborateurs.
• Incluez des quiz de vérification : après la lecture de la charte lors de l'onboarding, organisez un quiz de 5 à 10 questions pour vérifier la compréhension des règles essentielles. Ce quiz, dont les résultats sont tracés, est une preuve supplémentaire de sensibilisation et permet d'identifier les collaborateurs nécessitant une formation complémentaire.
• Adaptez la charte aux populations spécifiques : une charte généraliste peut ne pas couvrir les spécificités de certaines populations. Envisagez des annexes ou des versions adaptées pour les administrateurs système (obligations renforcées liées aux droits d'administration), les commerciaux itinérants (accès à des données clients en mobilité), et les équipes de R&D (protection de la propriété intellectuelle).

Questions fréquentes sur la charte utilisateur SI ISO 27001

La charte utilisateur SI est-elle obligatoire pour la certification ISO 27001 ?

La norme ISO 27001 n'impose pas explicitement un document appelé "charte utilisateur SI", mais les contrôles A.5.10 (utilisation acceptable des actifs) et A.6.2 (conditions d'emploi incluant les responsabilités sécurité) la rendent incontournable en pratique. En audit de certification, les auditeurs cherchent la preuve que les règles d'utilisation acceptable des ressources SI sont documentées et que les collaborateurs en ont été informés et ont accepté de les respecter. La charte utilisateur signée est la preuve la plus directe et la plus complète. Sans charte, vous pouvez arguer de clauses contractuelles dans les contrats de travail, mais ces clauses sont rarement suffisamment détaillées pour couvrir toutes les situations. En pratique, tous les SMSI certifiés ISO 27001 que j'ai rencontrés disposent d'une charte utilisateur formelle. Son absence génère systématiquement une NC mineure, voire majeure si les règles d'utilisation acceptable ne sont pas documentées ailleurs.

Faut-il une charte spécifique pour les prestataires et sous-traitants ?

C'est une bonne pratique, et dans certains cas une nécessité. La charte utilisateur SI standard est conçue pour les collaborateurs (contrat de travail). Pour les prestataires et sous-traitants, plusieurs options sont possibles : inclure une section "prestataires et tiers" dans la charte principale, avec des règles spécifiques à leur situation (limitation des accès, confidentialité, restitution des matériels) ; créer une charte prestataire distincte, plus courte et centrée sur leurs obligations spécifiques ; ou inclure les règles de sécurité dans les contrats de prestation comme clauses contractuelles, avec référence à la politique de sécurité de l'organisation. Pour les prestataires qui ont accès à des données sensibles (hébergeurs, infogérants, prestataires RH), le registre des sous-traitants doit documenter les obligations de sécurité contractuelles. Les audits ISO 27001 vérifient de plus en plus soigneusement les obligations imposées aux prestataires en matière de sécurité — cette vigilance accrue est liée aux exigences NIS 2 sur la sécurité de la chaîne d'approvisionnement.

Comment gérer la charte pour les collaborateurs en télétravail permanent ?

Le télétravail permanent (full remote) introduit des enjeux spécifiques que la charte doit adresser explicitement. Les règles à inclure dans la section télétravail : l'environnement de travail à domicile doit être sécurisé (bureau privé ou écran non visible de tiers lors des réunions sensibles, réseau Wi-Fi personnel sécurisé avec WPA2/WPA3 minimum), l'utilisation des réseaux publics (cafés, espaces de co-working) doit être encadrée (VPN obligatoire, écran de confidentialité, évitement des réunions sensibles dans des lieux publics), les règles de verrouillage d'écran s'appliquent de manière encore plus critique (risque de vue de tiers dans l'espace de vie), et la séparation entre usages professionnels et personnels des équipements doit être clairement définie. La politique de télétravail et BYOD est le document complémentaire qui traite ces questions en détail — la charte peut y faire référence plutôt que de les développer entièrement. Depuis la généralisation du télétravail post-2020, les auditeurs ISO 27001 vérifient systématiquement la couverture du télétravail dans la charte et dans les politiques de sécurité.

Pour aller plus loin

• Politique de gestion des accès logiques [A.5.15-18]
• Politique Télétravail et BYOD [A.6.7, A.8.1]
• Politique de mots de passe ISO 27001 [NIST + ANSSI]
• Politique de classification de l'information [A.5.12]
• Notre service d'accompagnement ISO 27001 complet