Ce n’est pas seulement depuis l’entrée en vigueur du Règlement général sur la protection des données (RGPD) de l’UE le 25 mai 2018 et de la nouvelle loi sur la protection des données (LPD) en Suisse en septembre 2023 que le thème de la protection des données est de nouveau au centre des préoccupations des entreprises. Ce sont en particulier les obligations d’informations étendues avec une extension des droits des personnes concernées, des devoirs de documentation et d’annonce ainsi que des mesures de sécurité des données qui font paraître judicieux de fixer quelques règles claires. L’utilisation accrue également d’outils de l’IA tels que par exemple ChatGPT amène les entreprises à considérer qu’il est nécessaire de fixer des règles pour l’utilisation de ces outils.
Beaucoup de collaborateurs ne sont pas conscients ou pas sûrs de ce que la protection des données signifie exactement et à quoi il faut veiller en traitant des données et en utilisant l’infrastructure IT. En l’absence d’instructions correspondantes de l’employeur les collaborateurs risquent donc dans certaines circonstances, de traiter des données personnelles de manière illicite ou de ne pas utiliser correctement l’infrastructure. Une utilisation contraire à la loi des données personnelles ou une utilisation abusive de l’infrastructure peut porter atteinte à la protection des secrets de l’entreprise et aux obligations de confidentialité vis-à-vis des clients et d’autres personnes, et ainsi nuire considérablement à la réputation de l’entreprise.
Une des questions principales pour l’employeur est chaque fois de savoir comment l’utilisation de l’infrastructure IT et le traitement de données doivent être réglés et comment le règlement ou la directive pour l’utilisateur doit être conçu. Concernant l’utilisation de l’infrastructure IT, il s’agit de décider si, par exemple, l’utilisation privée proportionnée de l’infrastructure IT de l’entreprise doit être autorisée. Cela a notamment une influence sur la question de savoir à quelles conditions l’employeur peut accéder à des e-mails d’affaires etc. C’est notamment important si des collaborateurs sont soudainement absents pour une longue période (par exemple maladie, accident) ou quittent l’entreprise (par exemple libération de l’obligation de travailler, résiliation immédiate).
Si l’entreprise décide d’autoriser l’utilisation privée proportionnée, il est dans l’intérêt de l’employeur de fixer à cet égard des directives claires sur l’utilisation privée de l’infrastructure IT et d’empêcher ainsi tout abus. Il est recommandé de formuler aussi des prescriptions d’utilisation quant au contenu, par exemple quelles utilisations sont interdites dans l’entreprise (consultation de certaines pages Internet ou envoi d’e-mails avec des contenus illégaux et/ou choquants, ou avec des contenus que l’employeur a définis comme non autorisés comme mobbing, harcèlement sexuel, etc.). Afin que ces instructions puissent aussi être appliquées, il faudrait prévoir dans le règlement ou la directive des possibilités de contrôle et fixer des sanctions.
Un règlement ou une directive sur l’utilisation de l’infrastructure IT peut le cas échéant aussi aider à garantir à l’intérieur de l’entreprise un traitement des données ordonné et clair. Outre les responsabilités et les autorisations, on peut y déterminer comment et sous quelle forme des données électroniques ou des e-mails d’affaires doivent être envoyés, sauvegardés et classés et quelles règles doivent être appliquées en cas d’absence ou de départ de collaborateurs.
Enfin, une utilisation non conforme de l’Internet et des e-mails ou une application non réglée d’appareils périphériques peuvent surcharger le réseau de l’entreprise et l’infecter par des virus, des vers ou des chevaux de Troie.
Quels thèmes devraient-ils alors être traités dans un tel règlement ? Ci-dessous une table des matières possible.
1 But
2 Usage privé oui / non
3 Utilisation illégale
4 Confidentialité
5 Comportement / respect
6 Gestion des outils IA
7 Enregistrement des données de l’entreprise
8 Communication de l’entreprise
9 Médias sociaux / réseau d’affaires, réseaux privés, blogs, etc.
10 Surveillance
11 Conséquences d’abus
Un tel règlement nécessite-t-il l’approbation des collaborateurs et comment peut-il être modifié ?
Un règlement d’utilisation est une instruction de l’employeur relative à l’infrastructure de l’entreprise, raison pour laquelle l’employeur peut introduire un tel règlement sans l’accord des collaborateurs. Des modifications ultérieures doivent uniquement être portées à la connaissance des collaborateurs. Dans la mesure où l’entreprise est soumise à une convention collective de travail, il s’agit d’examiner si, le cas échéant, la représentation des travailleurs, en raison des droits de participation (droit à l’information ou à la collaboration) devrait être impliquée au niveau de la convention collective de travail.
Selon les besoins de l’entreprise, le règlement sera relativement court ou plus détaillé. Il est cependant important de faire participer chaque fois l’ensemble des domaines de l’entreprise à l’élaboration du règlement (et particulièrement la division IT et les RH).
Swissmem vous soutient volontiers, après entente, dans l’élaboration des bases et/ou aussi dans la conception concrète et la rédaction d’un tel règlement ou d’une directive.