Règlement informatique: Pour régler la sécurité informatique et le bon usage de celle-ci

Workshop Contrat de travail et règlement du personnel

Rédaction et maîtrise des risques

Workshop pratique, 1 jour, Cursus Formation, Lausanne

Prochaine date: 14. mai 2024

Les mesures typiques permettant d’atteindre une sécurité des données appropriée consistent principalement en des restrictions et des limitations d’accès. Le cryptage des données, la sauvegarde, la surveillance, les systèmes d’alarme ainsi que de nombreux règlements, instructions et formations viennent également s’y ajouter.

Certes, les exigences en matière de sécurité des données restent pour l’essentiel inchangées sous le régime de la nouvelle loi sur la protection des données. La menace, quant à elle, évolue, revêt de nouvelles formes et s’accroît constamment. Les attaques de pirates informatiques ont fortement augmenté ces dernières années. Dans ce contexte, la sécurité des données, et ce bien souvent en recourant aux services de spécialistes externes, est de plus en plus d’actualité et s’impose comme un incontournable.

C’est aux entreprises elles-mêmes de décider ce qu’est une sécurité des données «appropriée». Les mesures prises ne doivent pas offrir une protection absolue, mais être proportionnelles au risque de violation de la sécurité des données encouru. Nous recommandons aux entreprises de documenter les réflexions qu’elles ont eues à ce sujet et les mesures de sécurité prises, et ce notamment au regard de la disposition pénale de la LPD, qui sanctionne le non-respect intentionnel des exigences minimales.

Contenu du règlement informatique

Toutefois, il ne suffit pas, en soi, de prendre ces mesures pour éviter tout problème. Souvent, ce sont les collaborateurs eux-mêmes qui portent la responsabilité d’une violation de la sécurité par une manipulation inadéquate ou en agissant de manière inconsidérée. Il importe donc grandement que les collaborateurs soient correctement informés de la manière dont ils doivent utiliser les outils de travail mis à leur disposition par l’employeur ainsi que les outils privés qu’ils utilisent dans le cadre de leur travail. Des formations appropriées, traitant spécifiquement de ces questions, devraient également être organisées de manière très régulière.

Bien que les entreprises n’aient pas l’obligation d’édicter un règlement informatique contraignant pour les collaborateurs en Suisse, l’information de ces derniers se fait généralement par le biais d’un tel document. Cela s’impose d’ailleurs, car si le règlement informatique est conçu comme une directive unilatérale émanant de l’employeur (au sens de l’art. 321d CO), celui-ci est de nature contraignante pour les collaborateurs sans pour autant qu’ils aient à donner leur accord en la matière. Une simple prise de connaissance au sens d’une information (p. ex. par une mention dans le contrat de travail) ainsi que, dans l’idéal, une brève introduction à ce sujet suffisent. Nous recommandons aussi, par la même occasion, de mentionner explicitement dans le règlement qu’il s’agit d’une directive relevant du droit du travail.

L’actualité du règlement doit en outre être vérifiée régulièrement. Si le règlement est conçu comme une directive relevant du droit du travail, il faut certes en informer les collaborateurs et éventuellement les former en cas d’adaptation ou d’évolution du règlement en question, mais il n’est (toujours) pas nécessaire d’obtenir leur accord. S’il s’agit en revanche d’une convention complémentaire au contrat de travail, chaque collaborateur doit alors donner son accord pour toute modification que l’employeur souhaite y apporter.