Règlement informatique: Pour régler la sécurité informatique et le bon usage de celle-ci
Aides de travail appropriées
Garantir la sécurité des données
Le 1er septembre 2023, la loi révisée sur la protection des données (LPD) est entrée en vigueur en Suisse et s’est alignée en grande partie sur la situation juridique de l’Union européenne (RGPD). Comme de juste, le thème de la protection des données fera également l’objet d’une attention accrue en Suisse.
La révision aura essentiellement pour conséquence un développement de la gouvernance des entreprises (déclaration de protection des données, listes de traitement, analyses d’impact sur la protection des données, etc.)
En ce qui concerne la sécurité des données, les entreprises devront, comme par le passé, garantir une sécurité des données adaptée au risque par des mesures techniques ou organisationnelles appropriées. Cela signifie qu’il conviendra de prendre les mesures nécessaires et appropriées compte tenu de la finalité du traitement des données, du risque, de l’état de la technique et des coûts de mise en oeuvre.
Les mesures typiques permettant d’atteindre une sécurité des données appropriée consistent principalement en des restrictions et des limitations d’accès. Le cryptage des données, la sauvegarde, la surveillance, les systèmes d’alarme ainsi que de nombreux règlements, instructions et formations viennent également s’y ajouter.
Certes, les exigences en matière de sécurité des données restent pour l’essentiel inchangées sous le régime de la nouvelle loi sur la protection des données. La menace, quant à elle, évolue, revêt de nouvelles formes et s’accroît constamment. Les attaques de pirates informatiques ont fortement augmenté ces dernières années. Dans ce contexte, la sécurité des données, et ce bien souvent en recourant aux services de spécialistes externes, est de plus en plus d’actualité et s’impose comme un incontournable.
C’est aux entreprises elles-mêmes de décider ce qu’est une sécurité des données «appropriée». Les mesures prises ne doivent pas offrir une protection absolue, mais être proportionnelles au risque de violation de la sécurité des données encouru. Nous recommandons aux entreprises de documenter les réflexions qu’elles ont eues à ce sujet et les mesures de sécurité prises, et ce notamment au regard de la disposition pénale de la LPD, qui sanctionne le non-respect intentionnel des exigences minimales.
Contenu du règlement informatique
Toutefois, il ne suffit pas, en soi, de prendre ces mesures pour éviter tout problème. Souvent, ce sont les collaborateurs eux-mêmes qui portent la responsabilité d’une violation de la sécurité par une manipulation inadéquate ou en agissant de manière inconsidérée. Il importe donc grandement que les collaborateurs soient correctement informés de la manière dont ils doivent utiliser les outils de travail mis à leur disposition par l’employeur ainsi que les outils privés qu’ils utilisent dans le cadre de leur travail. Des formations appropriées, traitant spécifiquement de ces questions, devraient également être organisées de manière très régulière.
Bien que les entreprises n’aient pas l’obligation d’édicter un règlement informatique contraignant pour les collaborateurs en Suisse, l’information de ces derniers se fait généralement par le biais d’un tel document. Cela s’impose d’ailleurs, car si le règlement informatique est conçu comme une directive unilatérale émanant de l’employeur (au sens de l’art. 321d CO), celui-ci est de nature contraignante pour les collaborateurs sans pour autant qu’ils aient à donner leur accord en la matière. Une simple prise de connaissance au sens d’une information (p. ex. par une mention dans le contrat de travail) ainsi que, dans l’idéal, une brève introduction à ce sujet suffisent. Nous recommandons aussi, par la même occasion, de mentionner explicitement dans le règlement qu’il s’agit d’une directive relevant du droit du travail.
L’actualité du règlement doit en outre être vérifiée régulièrement. Si le règlement est conçu comme une directive relevant du droit du travail, il faut certes en informer les collaborateurs et éventuellement les former en cas d’adaptation ou d’évolution du règlement en question, mais il n’est (toujours) pas nécessaire d’obtenir leur accord. S’il s’agit en revanche d’une convention complémentaire au contrat de travail, chaque collaborateur doit alors donner son accord pour toute modification que l’employeur souhaite y apporter.
Lire la suite avec
- Accès illimité à plus de 500 aides de travail
- Tous les articles payants en accès illimité sur weka.ch
- Actualisation quotidienne
- Nouveaux articles et aides de travail hebdomadaires
- Offres spéciales exclusives
- Bons séminaires
- Invitations aux webinaires en direct