Une note de service sur l’usage des outils numériques ne se limite pas à rappeler qu’il faut éteindre son ordinateur le soir. Ce document formalise des obligations précises, notamment en matière de conformité RGPD, de droit à la déconnexion et, depuis peu, d’encadrement de l’IA générative. Nous proposons ici un cadre rédactionnel opérationnel, avec un exemple de note de service directement adaptable.
Clauses IA générative et données sensibles dans la note de service
L’arrivée de ChatGPT, Copilot ou Gemini dans les usages quotidiens impose d’ajouter un volet dédié à toute communication interne sur les outils numériques. La CNIL, dans ses premiers repères pour les professionnels publiés en novembre 2023, identifie trois points à formaliser par écrit.
Lire également : Acre define : comment l'optimiser avec un bon choix de rémunération
- Interdiction de copier-coller des données sensibles (données clients, données de santé, informations financières non publiques) dans un prompt d’IA générative, quel que soit l’outil utilisé.
- Obligation d’anonymiser les cas clients et les documents internes avant toute soumission à un modèle de langage, même hébergé en interne.
- Validation humaine obligatoire avant diffusion d’un contenu généré par IA, qu’il s’agisse d’un email client, d’un document contractuel ou d’un support de formation.
Nous recommandons de faire figurer ces trois règles dans un paragraphe distinct de la note, avec un renvoi explicite vers la charte informatique. Un salarié qui utilise Copilot pour rédiger un compte-rendu n’a pas la même exposition au risque qu’un collaborateur qui soumet un tableau de données RH à ChatGPT. La note doit poser la limite.
A lire aussi : Fonctionnement d'un label indépendant dans l'industrie musicale
Conformité RGPD des outils collaboratifs : ce que la note doit préciser
La CNIL recommande de formaliser par écrit l’encadrement des outils collaboratifs comme Teams, Slack ou Google Drive. La note de service est le support le plus adapté pour cette communication, car elle peut compléter ou amender le règlement intérieur avec une valeur juridique reconnue.
Trois points méritent un traitement explicite dans le document.
Le premier concerne les durées de conservation des fichiers partagés. Un Drive d’équipe sans règle de purge accumule des données personnelles au-delà de toute finalité légitime. La note doit fixer un délai (par exemple, suppression automatique des fichiers inactifs au-delà d’une période définie) et désigner un responsable du nettoyage.
Le deuxième porte sur les paramètres de confidentialité par défaut. Partager un fichier « accessible à toute l’organisation » alors qu’il contient des données RH constitue une infraction. La note précise le niveau de partage attendu pour chaque catégorie de document.
Le troisième point, souvent négligé, concerne l’usage des canaux de messagerie instantanée pour transmettre des données personnelles. Envoyer un RIB par message Slack n’offre pas les mêmes garanties qu’un envoi via un coffre-fort numérique. La note doit l’interdire explicitement.
Droit à la déconnexion et outils numériques : articulation dans la note
La loi travail du 8 août 2016 rend obligatoire la négociation sur la régulation de l’utilisation des outils numériques pour assurer le respect des temps de repos et de congé. En l’absence d’accord, la note de service devient le vecteur principal de cette obligation.
Nous observons que la plupart des notes se contentent d’une formule vague (« les salariés ne sont pas tenus de répondre aux emails en dehors des heures de travail »). Ce n’est pas suffisant. La note doit définir des plages horaires précises pendant lesquelles aucune sollicitation professionnelle n’est attendue.
Notifications et paramétrage des applications
Une approche efficace consiste à inclure dans la note une consigne technique : désactivation des notifications push sur les applications professionnelles en dehors des plages de travail. Certains accords de branche vont plus loin et prévoient la coupure des serveurs de messagerie à certaines heures. La note de service peut relayer cette mesure sans attendre un accord d’entreprise.
Le document doit aussi préciser les exceptions (astreintes, situations d’urgence caractérisées) pour éviter toute ambiguïté. Un salarié qui reçoit un message Teams à 22 heures doit savoir, à la lecture de la note, s’il est tenu d’y répondre ou non.
Exemple de note de service sur l’usage des outils numériques
Voici un modèle structuré, adaptable selon la taille de l’entreprise et les outils déployés.
| En-tête | Logo entreprise – NOTE DE SERVICE N°[XX] – Date : [JJ/MM/AAAA] |
| Émetteur | Direction des Ressources Humaines / Direction des Systèmes d’Information |
| Destinataires | L’ensemble du personnel |
| Objet | Règles d’utilisation des outils numériques professionnels |
Corps de la note – rubriques à intégrer
Rubrique 1 – Périmètre. La présente note s’applique à l’ensemble des outils numériques mis à disposition par l’entreprise : messagerie électronique, suite collaborative (Teams/Slack/Google Workspace), outils d’IA générative autorisés, réseau interne et accès VPN.
Rubrique 2 – Règles d’usage des outils collaboratifs. Tout fichier contenant des données personnelles doit être partagé en accès restreint. Les canaux de messagerie instantanée ne doivent pas être utilisés pour transmettre des pièces d’identité, des bulletins de paie ou des coordonnées bancaires. Les fichiers inactifs sont supprimés selon la politique de conservation en vigueur.
Rubrique 3 – Encadrement de l’IA générative. L’utilisation d’outils d’IA générative (ChatGPT, Copilot, Gemini ou tout équivalent) est soumise à l’anonymisation préalable des données et à une validation humaine avant diffusion. L’introduction de données confidentielles dans ces outils est interdite.
Rubrique 4 – Droit à la déconnexion. Aucune réponse n’est attendue en dehors des plages horaires définies par l’accord d’entreprise ou, à défaut, en dehors des horaires collectifs de travail. Les notifications professionnelles doivent être désactivées sur les appareils personnels hors temps de travail.
Rubrique 5 – Sanctions. Tout manquement aux présentes règles peut donner lieu à une procédure disciplinaire conformément au règlement intérieur.
Signature : [Nom, fonction, date]
Diffusion et valeur juridique de la note sur les outils numériques
Pour qu’une note de service acquière une portée contraignante, elle doit respecter les mêmes conditions de publicité que le règlement intérieur lorsqu’elle en constitue un complément. L’affichage physique reste obligatoire, et la diffusion par voie électronique seule ne suffit pas à établir la preuve de communication au salarié en cas de contentieux.
La combinaison la plus sûre reste un envoi par email avec accusé de réception, un affichage dans les locaux et une mise à disposition sur l’intranet. L’archivage du document avec la date de diffusion et la liste des destinataires protège l’employeur en cas de litige sur l’opposabilité de la note.
La mise à jour régulière du document, au minimum une fois par an ou à chaque déploiement d’un nouvel outil, garantit que la note reste en phase avec les pratiques réelles. Une note obsolète est pire qu’une absence de note : elle crée un faux sentiment de conformité.
